5.2.2.4. Сервис Аккаунт
В Kubernetes
ServiceAccount— это механизм, который позволяет приложениям внутри кластера аутентифицироваться при обращении к API-серверу. Приватный ключ, указываемый вkube-apiserverиkube-controller-manager, используется для подписания токенов этих аккаунтов. Это обеспечивает безопасное и проверяемое взаимодействие между сервисами и даёт возможность гранулярного контроля доступа.
В этом разделе создаётся или подключается ключ, с помощью которого Kubernetes подписывает токены
ServiceAccount.
- Init
- Join
Создание ключа подписи ServiceAccount
● Обязателен к применению
Создание ключа подписи ServiceAccount
● Обязателен к применению
- HardWay
- Kubeadm
openssl genpkey \
-algorithm RSA \
-out /etc/kubernetes/pki/sa.key \
-pkeyopt rsa_keygen_bits:2048
openssl rsa \
-pubout \
-in /etc/kubernetes/pki/sa.key \
-out /etc/kubernetes/pki/sa.pub
kubeadm init phase certs sa
После выполнения кома�нд мы получаем следующий вывод.
#### Генерация Kube API сертификатов
[certs] Generating "sa" key and public key
Подключение ключ�а подписи ServiceAccount
● Обязателен к применению
Подключение ключ�а подписи ServiceAccount
● Обязателен к применению
Этап join не генерирует ключ, а использует ключ, полученный через этап выгрузки CA.
Убедитесь, что вы прошли шаг: