开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

具有群集角色的Kubernetes服务帐户

是指在Kubernetes集群中用于授权和身份验证的一种机制。它允许管理员为不同的应用程序或服务创建独立的服务帐户，并为其分配特定的权限和访问控制规则。

Kubernetes服务帐户的分类：

用户帐户：代表具体的用户或开发人员，用于管理和操作Kubernetes集群。
服务帐户：代表应用程序或服务，用于与Kubernetes API进行交互。

Kubernetes服务帐户的优势：

身份验证和授权：服务帐户通过使用令牌进行身份验证，并通过角色绑定和角色授权机制进行授权，确保只有经过授权的服务可以访问集群资源。
细粒度的访问控制：管理员可以为每个服务帐户分配特定的权限，以限制其对集群资源的访问范围，提高安全性。
简化管理：通过使用服务帐户，管理员可以更好地管理和跟踪不同应用程序或服务的访问权限，而无需依赖个别用户帐户。

Kubernetes服务帐户的应用场景：

微服务架构：在微服务架构中，每个服务可以使用独立的服务帐户进行身份验证和授权，实现服务间的安全通信。
CI/CD流水线：在持续集成和持续交付流水线中，可以为每个环节创建独立的服务帐户，确保只有经过授权的环节可以进行操作。
多租户环境：在多租户环境中，可以为每个租户创建独立的服务帐户，实现租户间的资源隔离和安全性。

腾讯云相关产品和产品介绍链接地址：腾讯云提供了一系列与Kubernetes相关的产品和服务，包括容器服务（TKE）、容器注册中心（TCR）、容器镜像服务（TDM）、容器安全服务（TCS）等。您可以通过以下链接了解更多信息：

腾讯云容器服务（TKE）：https://cloud.tencent.com/product/tke
腾讯云容器注册中心（TCR）：https://cloud.tencent.com/product/tcr
腾讯云容器镜像服务（TDM）：https://cloud.tencent.com/product/tdm
腾讯云容器安全服务（TCS）：https://cloud.tencent.com/product/tcs

相关搜索:Kubernetes服务帐户没有分配的角色？kubernetes服务帐户权限 Kubernetes服务帐户签名密钥如何在terraform中正确创建具有角色的gcp服务帐户受限制的Kubernetes服务帐户确定Kubernetes中气流的服务帐户 Kubernetes配置:指定不同的服务帐户无法将Google服务帐户绑定到Kubernetes服务帐户未列出kubernetes服务帐户机密 Kubernetes群集内的子网划分 Boto能否通过EKS服务帐户承担角色如何在Kubernetes中找到服务账号绑定的角色或集群角色？如何更新现有服务帐户的角色- Google Cloud Console Kubernetes上的Apache Ignite未加入群集具有外部名称curl的Kubernetes服务 GCP IAM:将角色绑定到服务帐户失败如何限制特定角色Kubernetes的资源？403使用具有发布/订阅发布者角色的服务帐户时出现禁止错误在Kubernetes的GCP自定义角色中创建角色如何检查用户是否具有具有角色id的特定角色

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Kubernetes的Top 4攻击链及其破解方法

尽管Kubernetes的采用率持续飙升，但它已成为网络攻击的主要目标。不幸的是，Kubernetes集群很复杂，难以保护。确保您的Kubernetes环境安全需要对威胁基础设施的常见攻击链有深入的理解。

01

落地k8s容易出现13个实践错误

在我们多年使用kubernetes的经验中，我们有幸看到了很多集群（在GCP，AWS和Azure上都是托管的和非托管的），并且我们看到一些错误在不断重复。

02

idou老师教你学istio：如何为服务提供安全防护能力

将单体应用程序分解为一个个服务，为大型软件系统的开发和维护带来了诸多好处，比如更好的灵活性、可伸缩性和可复用性。但这也带来了一些安全问题：

05

如何在Kubernetes上使用Istio Service Mesh设置Java微服务?

最初于2018年11月17日在Medium发布。自此以来，该帖子已更新，可以使用最新版本的JHipster（6.3.0）和Istio（1.3.0）。

05

基于 Armory 进行 Kubernetes 集群的弹性伸缩

想象一下，假设亚马逊每年只有一天不可用。按照这个数值估算，他们的业务将会约有 99.7% 的可用性，从表面上看这是相当合理的。然而，在过去的 2020 年，亚马逊的收入接近 4000 亿美元。基于 99.7% 而不是 100% 的可用性将花费亚马逊超过 10 亿美元。哪怕停机时间只是那么一点点，也会让公司的业务损失惨重。

05

手把手教你用 Flask，Docker 和 Kubernetes 部署Python机器学习模型（附代码）

将机器学习（ML）模型部署到生产环境中的一个常见模式是将这些模型作为 RESTful API 微服务公开，这些微服务从 Docker 容器中托管，例如使用 SciKit Learn 或 Keras 包训练的 ML 模型，这些模型可以提供对新数据的预测。然后，可以将它们部署到云环境中，以处理维护连续可用性所需的所有事情，例如容错、自动缩放、负载平衡和滚动服务更新。

02

K8S Dashboard 2.0 部署并使用 Ingress-Nginx 提供访问入口

Kubernetes Dashboard 终于发布 2.0 正式版本，从 Betat版本到 v2.0.0正式版本发布，历时一年多。

02

Kubernetes 管理 Service Accounts

Kubernetes区分普通帐户（user accounts）和服务帐户（service accounts）的原因：

02

CDP数据中心版部署前置条件

请务必注意CDP Data Center的安装前置条件，请到https://docs.cloudera.com/cloudera-manager/7.1.1/installation/topics/cdpdc-requirements-supported-versions.html 查询对应版本的前提条件。对应CDP数据中心版7.1来讲，前提条件包括如下：

02

Kubernetes 1.18 福履将之

Kubernetes 1.18即将发布！在发布了1.17的小版本之后，1.18变得日益健壮并充满了新颖性。关于新版本的介绍从哪里开始？有一些新功能，例如API Server对OIDC的支持以及kubelet关于Windows节点的功能增强，这些都会对用户产生重大影响。

02

如何使用Helm软件包管理器在Kubernetes集群上安装软件

Helm是Kubernetes的软件包管理器，允许开发人员和操作员更轻松地在Kubernetes集群上配置和部署应用程序。

02

AD RMS高可用（五）RMS数据库AllwaysOn

先把两台服务器rms-sql01和rms-sql02加入到域， sql安装步骤比较简单所以此处忽略sql的安装过程，按平时安装sql即可（此环境使用的是azure上的sql 2012企业版的模版镜像。）。

03

一文看懂Kubernetes v1.16！

9月18日，Kubernetes v1.16重磅发布！这是2019年以来发布的第三个版本! Kubernetes 1.16包含31个增强功能：8个增强趋于稳定，8个进入beta版，15个在alpha版。

04

如何在CentOS上创建Kubernetes集群

在本教程中，您将使用Ansible和Kubeadm从头开始设置Kubernetes集群，然后给它部署一个容器化的Nginx程序。

Kubernetes-基于RBAC的授权

在Kubernetes中，授权有ABAC（基于属性的访问控制）、RBAC（基于角色的访问控制）、Webhook、Node、AlwaysDeny（一直拒绝）和AlwaysAllow（一直允许）这6种模式。从1.6版本起，Kubernetes 默认启用RBAC访问控制策略。从1.8开始，RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC，启用RABC。在RABC API中，通过如下的步骤进行授权：1）定义角色：在定义角色时会指定此角色对于资源的访问控制的规则；2）绑定角色：将主体与角色进行绑定，对用户进行访问授权。

03

Kubernetes组件与架构

个人博客纯净版：https://www.fangzhipeng.com/kubernetes/2018/09/30/k8s-basic1.html

03

Argo CD 实践教程 08

服务账户是我们用于身份验证自动化操作的帐户，例如CI/CD流水线。它们不应该与用户绑定，因为如果我们禁用该用户或限制其权限，我们不希望我们的流水线开始失败。服务账户应具有严格的访问控制，并且不应允许执行比管道所需更多的操作，而实际用户可能需要访问更多的资源。在Argo CD中创建服务账户有两种方法：一种是使用本地用户（只使用apiKey并删除登录部分），另一种是使用项目角色并为这些角色分配令牌。

02

Kubernetes 1.16 发布，一文读懂其重磅新特性！

此次发行版源自数百名技术与非技术贡献者的共同努力，随着 Kubernetes 社区的不断发展，我们的发布过程也代表着开源软件开发协作领域的又一惊人成功。

02

Apache Spark 2.3 加入支持Native Kubernetes及新特性文档下载

问题导读 1.什么是Kubernetes？ 2.在Kubernetes集群尝试新功能，该如何实现？ 3.观看群集上创建的Spark资源，该如何操作？在开始之前我们需要知道什么是Kubernetes Kubernetes（通常写成“k8s”）是最开始由google设计开发最后贡献给Cloud Native Computing Foundation的开源容器集群管理项目。它的设计目标是在主机集群之间提供一个能够自动化部署、可拓展、应用容器可运营的平台。Kubernetes通常结合docker容器工具工

04

Windows 2012配置故障转移(For SQLServer 2014 AlwaysOn)

单击”管理”菜单，选择”添加角色和功能” 单击”下一步”，选择”基于角色或基于功能的安装”，单击”下一步” 选择本地服务器，单击”下一步”，直到功能模块，选择”.NET 3.5”，后续安装SQLserver会用到拖动滚动条，选择”故障转移群集”

02

Kubernetes-基于RBAC的授权

在Kubernetes中，授权有ABAC（基于属性的访问控制）、RBAC（基于角色的访问控制）、Webhook、Node、AlwaysDeny（一直拒绝）和AlwaysAllow（一直允许）这6种模式。从1.6版本起，Kubernetes 默认启用RBAC访问控制策略。从1.8开始，RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC，启用RABC。在RABC API中，通过如下的步骤进行授权：1）定义角色：在定义角色时会指定此角色对于资源的访问控制的规则；2）绑定角色：将主体与角色进行绑定，对用户进行访问授权。

02

006.SQLServer AlwaysOn可用性组高可用部署

有关对 SQL Server 2012 中的数据库镜像的支持的信息，请参考：https://docs.microsoft.com/zh-cn/previous-versions/sql/sql-server-2012/cc645993%28v%3dsql.110%29

04

附005.Kubernetes身份认证

与Kubernetes交互通常有kubectl、客户端（Dashboard）、REST API请求。

03

使用Kubernetes身份在微服务之间进行身份验证

如果您的基础架构由相互交互的多个应用程序组成,则您可能会遇到保护服务之间的通信安全以防止未经身份验证的请求的问题。

03

GitLab 12.1 发布合并Trains的并行执行策略

GitLab 12.1 已经发布，更新如下：合并训练的并行执行策略：加强了合并 TRAINS，以使用并行策略执行流水线，并行执行通过按顺序排列合并请求并启动受控的并行管道来加速验证。合并机密问题

02

Kubernetes提供的和不提供的安全功能

要说Kubernetes没有提供安全功能是错误的。Kubernetes提供了一些旨在帮助保护容器化应用程序的功能。

01

基于 Kubernetes，Helm 及 Jenkins 实现弹性 CI/CD

让我们在 Kubernetes 上创建一个CI/CD（持续集成和持续部署）解决方案，使用 Jenkins 作为构建工具，并使用 Traefik 作为用于灵活应用程序部署和路由的入口。

04

kubernetes-ClusterRole（一）

Kubernetes中的Role-Based Access Control（RBAC）允许您控制对Kubernetes API的访问。它通过定义角色（Role）和角色绑定（RoleBinding）来完成此操作。在Kubernetes中，有两种类型的角色：ClusterRole和Role。在本文中，我们将重点介绍ClusterRole。

04

通过Kubecost量化Kubernetes使用成本

在过去的几年中，我们已经看到 Kubernetes 被广泛用作容器编排平台。随之而来的还有不同的方式来操作 Kubernetes 集群。一些企业更喜欢一个集群一租户（硬多租户），而另一些企业更喜欢一个集群 n 租户（软多租户）模型。我们已经看到许多企业都采用后一种模型，因为它可以帮助他们减少很多运营工作。对于软多租户模型，明智地提供成本分配租户的可见性非常重要，以便可以相应地向组织收费。

04

最流行的五款Kubernetes交互式可视化工具

Kuboard[1] 是一款免费的 Kubernetes 管理工具，提供了丰富的功能，结合已有或新建的代码仓库、镜像仓库、CI/CD工具等，可以便捷的搭建一个生产可用的 Kubernetes 容器云平台，轻松管理和运行云原生应用。您也可以直接将 Kuboard 安装到现有的 Kubernetes 集群，通过 Kuboard 提供的 Kubernetes RBAC 管理界面，将 Kubernetes 提供的能力开放给您的开发团队。

02

Kubernetes 最佳实践：综合指南

翻译自 Kubernetes Best Practices: A Comprehensive Guide 。

01

kubernetes secure Architecture- kuberntes安全架构

run container in container engine-在容器引擎中运行容器

07

GitLab推动基于Kubernetes的Auto DevOps更新

GitLab发布了其同名平台的最新版本，该版本利用Kubernetes来自动化代码处理。在微软以75亿美元收购GitHub之后，在线Git存储库管理器受到了人们的关注。

02

在kubernetes 集群内访问k8s API服务

所有的 kubernetes 集群中账户分为两类，Kubernetes 管理的 serviceaccount(服务账户) 和 useraccount（用户账户）。基于角色的访问控制（“RBAC”）使用“rbac.authorization.k8s.io”API 组来实现授权控制，允许管理员通过Kubernetes API动态配置策略。

03

Kubernetes安全挑战以及如何应对

线上环境使用Kubernetes已经有一段时间，Kubernetes通过提供一个可扩展的声明式平台来管理容器以实现高可用性，弹性和规模。但是Kubernetes是一个大型、复杂的平台；在规模扩大以后，Kubernetes平台自身身的安全问题如何解决？应该采取什么策略来保证应用的安全部署？下面我从四个方面说明如何缓解这些挑战。

03

Kubesphere集群搭建教程

所有服务器均采用centos7.6版本，最小安装模式，每个服务器均有一个空余磁盘用于部署ceph

06

KubeSphere3.0 多集群联邦

KubeSphere v3.0.0进行了重大升级，其中多集群管理功能是重要更新之一。

04

Kubernetes生产环境的16条建议

Kubernetes是用于构建高度可扩展系统的强大工具。结果，许多公司已经开始或正在计划使用它来协调生产服务。不幸的是，像大多数强大的技术一样，Kubernetes也很复杂。我们整理了以下清单，以帮助你生产环境最佳实践Kubernetes。

01

istio 1.7发布

•添加了 values.global.proxy.holdApplicationUntilProxyStarts config选项，它使sidecar注入器在pod容器列表的开始处注入sidecar，并将其配置为阻止所有其他容器的开始，直到代理就绪为止。默认情况下禁用此选项。(#11130)•新增了对用于客户端证书和CA证书的SDS支持，该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039)

01

如何保护K8S中的Deployment资源对象

对于在共享基础架构上运行的容器化应用程序，安全性至关重要。随着越来越多的组织将其容器流量负载转移到 Kubernetes，K8s 已成为容器编排的首选平台。随着这一趋势的出现，越来越多的威胁和新的攻击方式层出不穷。

02

kubernetes rbac 权限管理

访问控制是云原生中的一个重要组成部分，也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段。

04

使Kubernetes管理更容易的7个工具

Kubernetes是最初由Google开发的容器编排工具，已成为敏捷和DevOps团队的重要资源。作为一个开源工具，Kubernetes本身正在成为一个生态系统，正在开发其他工具来支持它。其中一些扩展也是直接来自Kubernetes，还有一些是基于自身开发的项目。

02

SPN扫描

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。在内部网络中，SPN扫描通过查询向域控制器执行服务发现。可以帮助我们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。此外，SPN的识别也是kerberoasting攻击的第一步。

02

如何在Kubernetes群集上安装，配置和部署NGINX

Kubernetes是一个基于Google Borg的开源容器管理系统。它可以配置为提供高度可用的，水平自动缩放的自动部署。本指南介绍如何在Linode上设置Kubernetes集群并管理NGINX服务的生命周期。

04

Kubernetes（K8S）是什么，有那些特性以及应用场景有那些？

Kubernetes 是一种开源容器管理工具，可自动执行容器部署、容器扩展、解缩放和容器负载均衡（也称为容器编排工具）。它是用Golang编写的，拥有庞大的社区，因为它最初由Google开发，后来捐赠给CNCF（云原生计算基金会）。Kubernetes 可以将“n”个容器分组到一个逻辑单元中，以便轻松管理和部署它们。它与所有云供应商（即公共云、混合云和本地云供应商）完美配合。

04

你需要了解的Kubernetes RBAC权限

K8s RBAC 提供了三个具有隐藏权限的权限，这些权限可能会被恶意使用。了解如何控制其使用。

01

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

VirtualCluster - 让k8s插上多租户的翅膀

随着组织内部越来越多地使用Kubernetes，对应用程序和工程师进行Kubernetes访问的需求也在增长.由于始终使用整个物理Kubernetes集群既不可行也不具有成本效益，因此Kubernetes的虚拟化是显而易见的解决方案.

03

Kubernetes v1.30 新特性一览

各位 Kubernetes 用户们，请注意！1.30版本即将发布，这将对运维和开发者带来强大的功能。以下是关键特性的详细介绍：

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭