我们如何使用服务帐户登录创建的AKS集群? 我们被要求执行kubectl create clusterrolebinding add-on-cluster-admin .........,但是我们不知道如何使用它并登录到Azure中创建的集群
答案 0 :(得分:2)
您可以使用此快速入门教程:odr-used
基本上,您需要安装kubectl:
az aks install-cli
并获取AKS的凭据:
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
答案 1 :(得分:1)
按照教学法:
用户帐户与服务帐户 Kubernetes出于多种原因区分用户帐户和服务帐户的概念: 用户帐户适用于人类。服务帐户用于在pod中运行的流程。 用户帐户旨在成为全球帐户。名称在群集的所有命名空间中必须唯一,将来的用户资源将不会被命名。服务帐户已命名空间。 通常,群集的用户帐户可能是从公司数据库同步的,在该公司数据库中,创建新的用户帐户需要特殊的特权,并且与复杂的业务流程相关联。 创建服务帐户的目的是减轻用户负担,使群集用户可以为特定任务(即最小特权原则)创建服务帐户。 人员和服务帐户的审核注意事项可能有所不同。 复杂系统的配置包可能包括该系统组件的各种服务帐户的定义。由于可以临时创建服务帐户并使用命名空间名称,因此这种配置是可移植的。
例如:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: secret-reader
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "watch", "list"]
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: read-secrets-global
subjects:
- kind: User
name: manager
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: secret-reader
apiGroup: rbac.authorization.k8s.io
您可以在here中找到其他有用的信息official kubernetes documentation和Azure Kubernetes服务AKS