默认ServiceAccount k8s

Question

我对Minikube中新创建的Namespace中的默认服务帐户感到有点困惑。

• 它有什么权限吗？似乎不是因为我找不到任何引用这个SA的角色绑定或集群绑定。
• 那么，在没有权限的情况下，为什么要创建它，或者它周围是否有用例呢？
• 最后，为什么在默认情况下服务帐户要挂载到pods？

问候拉尔夫

Answer 1

1. 默认的服务帐户没有足够的权限来检索运行在同一个命名空间中的服务。
2. Kubernetes遵循从封闭到开放的惯例，这意味着默认情况下，没有任何用户或服务帐户具有任何权限。 为了满足这一请求，我们需要创建一个角色绑定，将默认服务帐户与适当的role.This关联起来，这类似于我们如何向服务帐户分配查看器角色，该服务帐户可以授予列表荚的权限。
3. 即使您没有要求，Pods也会分配默认的服务帐户。这是因为集群中的每个吊舱都需要有一个(而且只有一个)服务帐户分配给它。 有关更多信息，请参考Kubernetes名称空间默认服务帐户。