Kubernetes API 服务器的安全防护
认证机制
API 服务器接收的请求经过认证插件列表,当遇到第一个成功返回用户名、用户ID和组信息给 API 服务器后,将停止剩余的认证调用,进入授权阶段。
ServiceAccount
镜像拉取密钥
向 ServiceAccount 中添加 imagePullSecrets,可以不必对每个 Pod 单独添加 imagePullSecrets。
创建 docker-registry Secret
kubectl create secret docker-registry mydockerhubsecret \
--docker-username=myusername \
--docker-password=mypassword \
--docker-email=myemail
编写 ServiceAccount YAML 文件(sa-image-pull-secret.yaml)
apiVersion: v1
kind: ServiceAccount
metadata:
name: image-pull-secret
imagePullSecrets:
- name: mydockerhubsecret
创建 ServiceAccount 对象
kubectl apply -f sa-image-pull-secret.yaml
编写 Pod YAML 文件(private-serviceacc