k8s设置token只能被特定POD使用-Go服务器开发

要让一个 Service Account Token 只能被特定的 Pod 使用，可以使用 Kubernetes 中的 RBAC（Role-Based Access Control）机制。以下是具体步骤：

创建一个拥有该 Service Account 权限的 Cluster Role 或 Role。

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRole
   metadata:
     name: pod-reader
   rules:
     - apiGroups: [""]
       resources: ["pods"]
       verbs: ["get", "watch", "list"]

创建一个绑定了该 Role 的 Cluster Role Binding 或 Role Binding，并指定对应的 Service Account。

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRoleBinding
   metadata:
     name: pod-reader-binding
   roleRef:
     kind: ClusterRole
     name: pod-reader
     apiGroup: rbac.authorization.k8s.io
   subjects:
     - kind: ServiceAccount
       name: <service-account-name>
       namespace: <namespace>
   # 或者
    apiVersion: rbac.authorization.k8s.io/v1beta1
    kind: RoleBinding 
    metadata:
      name : pod-reader-binding 
      namespace : default  
    roleRef:
      apiGroup : rbac.authorization.k8s.io 
      kind : ClusterRole 
      name : pod-reader 
    subjects :
    - kind : ServiceAccount 
      name : my-sa   
  
3. 在需要使用该 Service Account 的 Pod 中添加 annotation，以指定使用该 Service Account。

apiVersion: v1 kind: Pod metadata:

name: my-pod-with-sa-token
annotations:
  kubernetes.io/service-account.name: <service-account-name>

spec:

containers:
  - name: my-container
    image: nginx
    ports:
      - containerPort: 80

”`

注意，在上面的示例中，<service-account-name> 指定了该 Pod 所使用的 Service Account 的名称。此外，在绑定 Role 和 Service Account 的时候，可以根据需要指定命名空间。

通过以上步骤，只有在使用了该 annotation 的 Pod 才能使用该 Service Account Token 进行 API 访问。

k8s设置token只能被特定POD使用

golang云原生

github.com/jinzhu/gorm

泛域名，可以生成无限多个子域名吗

[GIN-debug] [WARNING] Creating an Engine instance with the Logger and Recovery middleware already attached.

为了解决CPU缓存不一致问题中的事物串行化，使用了锁机制。是怎么使用的

db.AutoMigrate

git 拉取指定commit id的代码

如何在一个docker中运行多个程序

golang ipv6 地址转整数

WordPress自定义分享插件可以分享到微信朋友圈的那种我要自己写插件

Vue.prototype.zipMedia = async function(media) { const zip = new JSZip(); console.log("media.length: ", media.length); console.log("zipMedia_media: ", media); if (!media || media.length === 0) { return null; // 返回 null 表示没...

golang 布隆过滤器

golang + rdp 协议+tls，实现远程桌面服务端和客户端

git 拉取指定commit id的代码

golang为什么将method写在类外?

mysql 数据库备份

怎么查看本地docker registry 的所有镜像

k8s组件及各自组件使用的端口

void Path(BTNode*bt,char x,char path[],int pathlen) { if(bt!=NULL) { if(bt->data==x) { for(int i=0;i

[WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd" 这个报错如何解决

golang如何读取和修改pdf文件的内容？

git push –mirror命令具体该怎么用

帮我把这些输入输入到Student表中，并写出对应的mysql语句

kube-prometheus页面添加鉴权

kubectl logs查询指定时间段的日志并输出到指定文件

联系我们

k8s设置token只能被特定POD使用

相关推荐

git 拉取指定commit id的代码

如何在一个docker中运行多个程序

golang ipv6 地址转整数

WordPress自定义分享插件 可以分享到微信朋友圈的那种 我要自己写插件

Vue.prototype.zipMedia = async function(media) { const zip = new JSZip(); console.log("media.length: ", media.length); console.log("zipMedia_media: ", media); if (!media || media.length === 0) { return null; // 返回 null 表示没...

golang 布隆过滤器

golang + rdp 协议+tls，实现远程桌面服务端和客户端

git 拉取指定commit id的代码

golang为什么将method写在类外?

联系我们

登录

注册

WordPress自定义分享插件可以分享到微信朋友圈的那种我要自己写插件