我是Kubernetes的新手,正在玩Kubernetes-RBAC。我想限制对不同用户的群集访问。正如我所理解的那样,Service-Accounts表示要在Pod中运行的集群内进程,这些进程要根据API进行身份验证。
那么我应该使用Buildservers用户帐户并通过kubeconfig文件从集群外部访问吗?还是在这种情况下的最佳做法是什么?
使用服务帐户从远程访问群集是否很糟糕?
答案 0 :(得分:1)
kubernetes没有用户对象。建议使用服务帐户进行部署
答案 1 :(得分:0)
您应该使用Kubernetes的普通用户身份验证系统来验证在集群外部运行的自动化代理。服务帐户只能由在群集内运行的Pod使用(除非您不愿意“借用”服务帐户令牌)。您可以执行诸如设置RoleBinding的操作,以向CD系统用户授予创建和删除Kubernetes对象的特殊权限。