使用Service-Account还是User-Account进行Kubernetes部署？

Question

我是Kubernetes的新手，也是Kubernetes-RBAC的新手。我想限制不同用户对我的集群的访问。正如我所理解的，Service-Accounts指的是在pods内运行的集群内进程，这些进程想要根据API进行身份验证。

那么，我应该为Buildservers使用用户帐户，并通过kubeconfig-file从集群外部进行访问吗？或者，这种情况下的最佳实践是什么？

使用Service-Accounts从远程访问群集是不是很糟糕？

Answer 1

kubernetes没有user对象。建议使用服务帐户进行部署

Answer 2

您应该使用Kubernetes的普通用户身份验证系统来验证在集群外部运行的自动化代理。服务帐户只能由在集群中运行的pods使用(除非您走了很远的路去“借用”服务帐户令牌)。您可以做一些事情，比如设置一个RoleBinding，为CD系统的用户提供创建和删除Kubernetes对象的特殊权限。