7,540
edits
Changes
→ServiceAccount
<br>
===ServiceAccount secret-ek===
Minden service-account-hoz létrejön autómatikusan két secret:
* <service-account név>-dockercfg-<azonosító>
* <service-account név>-token-<azonosító>
A dockercfg-ben van az összes olyan docker registry elérhetősége, ahonnan le tudja húzni az image-t az a Deployment ami ezt a serviceAccount-ot használja. Nézzünk bele ebbe a docker-es secret-be:
<pre>
# kubectl get secret prometheus-kube-state-metrics-dockercfg-rngd8 -n mynamespace -o yaml
---------------------------
apiVersion: v1
data:
.dockercfg: eyIxNzIuMzAuMS4xOjUwMDAiO....
kind: Secret
metadata:
annotations:
kubernetes.io/service-account.name: prometheus-kube-state-metrics
kubernetes.io/service-account.uid: d3615a80-acb9-11e9-ab6f-525400efb4ec
openshift.io/token-secret.name: prometheus-kube-state-metrics-token-w9qjx
name: prometheus-kube-state-metrics-dockercfg-rngd8
namespace: mynamespace
type: kubernetes.io/dockercfg
</pre>
Ha Base64-el dekódoljuk a tartalmat, ezt találjuk benne.
<pre>
{"172.30.1.1:5000":{"username":"serviceaccount","password":"eyJhbGciOiJSUz...1lYwAtg","email":"serviceaccount@example.org","auth":"c2Vydml...Zw=="},"docker-registry.default.svc.cluster.local:5000":{"username":"serviceaccount","password":"eyJhbGciOiJSU....}}
</pre>
A token-es secret-ben pedig a ca, a cert és a token van:
<pre>
# kubectl get secret prometheus-kube-state-metrics-token-t4d6r -n mynamespace -o yaml
apiVersion: v1
data:
ca.crt: LS0tLS1CRUdJTi...
namespace: bXluYW1lc3BhY2U=
service-ca.crt: LS0tLS1CRU...
token: ZXlKaGJHY2l..
kind: Secret
metadata:
name: prometheus-kube-state-metrics-token-t4d6r
namespace: mynamespace
type: kubernetes.io/service-account-token
</pre>
<br>
<br>