k8s设置token只能被特定POD使用-Go服务器开发

要让一个 Service Account Token 只能被特定的 Pod 使用，可以使用 Kubernetes 中的 RBAC（Role-Based Access Control）机制。以下是具体步骤：

创建一个拥有该 Service Account 权限的 Cluster Role 或 Role。

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRole
   metadata:
     name: pod-reader
   rules:
     - apiGroups: [""]
       resources: ["pods"]
       verbs: ["get", "watch", "list"]

创建一个绑定了该 Role 的 Cluster Role Binding 或 Role Binding，并指定对应的 Service Account。

   apiVersion: rbac.authorization.k8s.io/v1
   kind: ClusterRoleBinding
   metadata:
     name: pod-reader-binding
   roleRef:
     kind: ClusterRole
     name: pod-reader
     apiGroup: rbac.authorization.k8s.io
   subjects:
     - kind: ServiceAccount
       name: <service-account-name>
       namespace: <namespace>

   # 或者

    apiVersion: rbac.authorization.k8s.io/v1beta1
    kind: RoleBinding 
    metadata:
      name : pod-reader-binding 
      namespace : default  
    roleRef:
      apiGroup : rbac.authorization.k8s.io 
      kind : ClusterRole 
      name : pod-reader 
    subjects :
    - kind : ServiceAccount 
      name : my-sa   
  
3. 在需要使用该 Service Account 的 Pod 中添加 annotation，以指定使用该 Service Account。

apiVersion: v1 kind: Pod metadata:

name: my-pod-with-sa-token
annotations:
  kubernetes.io/service-account.name: <service-account-name>

spec:

containers:
  - name: my-container
    image: nginx
    ports:
      - containerPort: 80

”`

注意，在上面的示例中，<service-account-name> 指定了该 Pod 所使用的 Service Account 的名称。此外，在绑定 Role 和 Service Account 的时候，可以根据需要指定命名空间。

通过以上步骤，只有在使用了该 annotation 的 Pod 才能使用该 Service Account Token 进行 API 访问。

k8s设置token只能被特定POD使用

golang云原生

服务化架构模式、Mesh化架构模式、Serverless模式、存储分离计算模式、分布式事务模式、可观测架构、事件驱动架构，这些是云原生的架构模式，如何理解

没有ipvsadm命令

LVS负载后端两台服务器，使用IPIP包，有一台能正常收到包，有一台后端服务能收到IPIP的包，但是应用层没有收到包，需要如何排查配置

重启网络后依旧只有local 172.22.132.134 dev tunl0 table local proto kernel scope host src 172.22.132.134 multicast ff00::/8 dev tunl0 table local proto kernel metric 256 pref medium

link/ipip 0.0.0.0 brd 0.0.0.0 inet 172.22.132.134/32 brd 172.22.132.134 scope global tunl0 valid_lft forever preferred_lft forever 这是正常的这台的配置，tunl0@NONE: mtu 1480 qdisc noop state DOWN group default qlen 1000 link/ipip 0.0....

git 拉取指定commit id的代码

WordPress自定义分享插件可以分享到微信朋友圈的那种我要自己写插件

如何在一个docker中运行多个程序

golang ipv6 地址转整数

Vue.prototype.zipMedia = async function(media) { const zip = new JSZip(); console.log("media.length: ", media.length); console.log("zipMedia_media: ", media); if (!media || media.length === 0) { return null; // 返回 null 表示没...

golang 布隆过滤器

golang + rdp 协议+tls，实现远程桌面服务端和客户端

git 拉取指定commit id的代码

golang为什么将method写在类外?

golang 生成token php 验证token 并解码其中携带的数据。写出代码

docker-compose 下载

how to config jetson orin linux kernel can bus gpio device-tree

k3s 缺少kind: Secret怎么解决

mysql 插入意向锁

golang 后台通过钉钉登录成功，现在需要跳转到php 后台。两者之间的关联是钉钉邮箱。如何通过token实现跳转后自动登录。用golang写出token加密代码，用php写出验证token代码

git 更新远程分支

mysql substring_index函数

golang redis.Pool

git 报错You asked to pull from the remote 'github', but did not specify a branch. Because this is not the default configured remote for your current branch, you must specify a branch on the command line.

联系我们

k8s设置token只能被特定POD使用

相关推荐

git 拉取指定commit id的代码

WordPress自定义分享插件 可以分享到微信朋友圈的那种 我要自己写插件

如何在一个docker中运行多个程序

golang ipv6 地址转整数

Vue.prototype.zipMedia = async function(media) { const zip = new JSZip(); console.log("media.length: ", media.length); console.log("zipMedia_media: ", media); if (!media || media.length === 0) { return null; // 返回 null 表示没...

golang 布隆过滤器

golang + rdp 协议+tls，实现远程桌面服务端和客户端

git 拉取指定commit id的代码

golang为什么将method写在类外?

联系我们

登录

注册

WordPress自定义分享插件可以分享到微信朋友圈的那种我要自己写插件