首页 > 其他分享 >[CKS] K8S ServiceAccount Set Up

[CKS] K8S ServiceAccount Set Up

时间:2024-11-10 10:49:52浏览次数:7  
标签:Set watch ServiceAccount buffy role sa K8S Pod

最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Rolebinding的题目。

Question 1

The buffy Pod in the sunnydale namespace has a buffy-sa ServiceAccount with permissions the Pod doesn’t need. Modify the attached Role so that it only has the ability to list pods.
Then, create a new Role called watch-services-secrets that grants permission to watch, services, and secrets.
Bind the Role to the ServiceAccount with a RoleBinding called buffy-sa-watch-rb.
这段话的意思是:在 Sunnydale 命名空间中的 buffy Pod 有一个名为 buffy-sa 的 ServiceAccount,该 ServiceAccount 具有 Pod 不需要的权限。修改附加的 Role,使其只能具有列出 Pod 的能力。 然后,创建一个名为 watch-services-secrets 的新 Role,该 Role 授予观看 services 和 secrets 的权限。 使用名为 buffy-sa-watch-rb 的 RoleBinding 将该 Role 绑定到该 ServiceAccount。

Practice

修改 sunnydale下的rolebinding

先查看sunnydale下面的rolebinding然后对rolebinding进行修改

# 获取sunnydale下面的rolebinding
kubectl get rolebinding -n sunnydale
# 获取buffy-rb下面的rolebinding的serviceaccount name
kubectl describe rolebinding -n sunnydale buffy-rb

可以看到buffy-rb对应绑定的role是buffy-role

修改buffy-role

修改需要达到一下目的

  • 只能列出pod的能力
kubectl edit role buffy-role

修改成以下内容:
在这里插入图片描述

创建watch-services-secrets新的role

Tips:如果你不知道怎么创建,可以参照上面我们修改的这个yaml文件进行修改

vi watch-services-secrets.yml

在这里插入图片描述

kubectl create -f watch-services-secrets.yml

好了 现在你就讲role创建好了

Bind the role to a SA

如果你不知道怎么绑定,在考试的时候你可以参考buffy-role是怎么绑定的
在这里插入图片描述
创建新的rolebinding
在这里插入图片描述

kubectl create -f buffy-sa-watch-rb.yml

Question 2

A Pod in the cluster cannot be created properly because its ServiceAccount is misconfigured.

The Pod is meant to live in the bespin namespace. Delete the existing ServiceAccount from this namespace.
Create a new ServiceAccount called lando-sa.
Configure the Pod to use the lando-sa ServiceAccount.
Create the Pod.
这个问题的意思是在集群中的一个 Pod 无法正确创建,因为它的 ServiceAccount 配置有误。
这个 Pod 应该存在于 bespin 命名空间中。首先删除该命名空间下已存在的 ServiceAccount。 创建一个名为 lando-sa 的新的 ServiceAccount。 配置 Pod 使用 lando-sa ServiceAccount。 最后创建 Pod。

查看bespin下面的serviceaccount

kubectl get serviceaccount -n bespin

删除查找到的serviceaccount

kubectl delete serviceaccount -n bespin lando

创建新的serviceaccount lando-sa

kubectl create serviceaccount -n bespin lando-sa

创建pod(pod文件已经存在 你只需要修改serviceAccountName就可以了)在这里插入图片描述

kuebctl create -f lando.yml

标签:Set,watch,ServiceAccount,buffy,role,sa,K8S,Pod
From: https://blog.csdn.net/agjllxchjy/article/details/143640171

相关文章

  • openEuler搭建k8s(1.28.2版本)
    目录k8s搭建(1.28.2版本)1.安装containerd1.1下载tar包1.2编写服务单元文件2.安装runc3.安装cni插件3.1下载文件3.2设置crictl运行端点4.配置containerd5.主机配置5.1编辑hosts文件(可选)5.2开启流量转发5.3关闭防火墙以及selinux5.4关闭swap6.搭建k8s6.1配置yum源......
  • HarmonyOS Next之Asset Store Kit基础功能全解析
    本文旨在深入探讨华为鸿蒙HarmonyOSNext系统(截止目前API12)在开发多语言电商平台方面的技术细节,基于实际开发实践进行总结。主要作为技术分享与交流载体,难免错漏,欢迎各位同仁提出宝贵意见和问题,以便共同进步。本文为原创内容,任何形式的转载必须注明出处及原作者。在HarmonyOS......
  • ffmpeg问题解决:Unrecognized option 'preset'. Error splitting the argument list: O
    来到这里,十有八九是手动编译安装的ffmpeg,在跑视频流程序或命令时出现这个问题。跟这个报错:ffmpeg:errorwhileloadingsharedlibraries:libx264.so.164:cannotopensharedobjectfile:Nosuchfileordirectory的错误本质是一样的,都是由于ffmpeg时使用到了libx264,而在......
  • C++之setw
    1.什么是setwsetw是C++中一个用于控制输出宽度的操纵符(manipulator),它定义在<iomanip>头文件中。通过setw可以指定下一个输出项应占用的字符宽度,在格式化输出时非常有用。2.setw的作用setw(n)设置的宽度n表示下一个要输出的项所占的最小宽度。如果输出项的实际字......
  • [USACO23FEB] Problem Setting P 题解
    [USACO23FEB]ProblemSettingP题目说的很绕,意思就是所有验题人都认为题目难度顺序单增。发现\(m\)很小,很容易想到状压。把H看作\(\tt1\),E看作\(\tt0\),则我们得到\(m\)个长度为\(n\)的\(\tt01\)串,这就是每道题的“状态”。发现状态相同的题没有本质区别,所以我们......
  • 【C++篇】无序中的法则:探索 STL之unordered_map 与 unordered_set容器的哈希美学
    文章目录C++`unordered_map`和`unordered_set`容器详解前言第一章:`unordered_map`和`unordered_set`的概念1.1`unordered_map`和`unordered_set`的定义1.2与`map`、`set`的区别第二章:`unordered_map`和`unordered_set`的构造方法2.1`unordered_map`......
  • 【模块一】kubernetes容器编排进阶实战之k8s基础概念
    kubernetes基本介绍kubernetes组件简介   -master:       主人,并不部署服务,而是管理salve节点。      后期更名为:controllplane,控制面板。         etcd:      2379(客户端通信)、2380(集群内部通信)         ......
  • 【K8s安全】K8s污点横向渗透
    原创Al1ex七芒星实验室污点是K8s高级调度的特性,用于限制哪些Pod可以被调度到某一个节点,一般主节点包含一个污点,这个污点是阻止Pod调度到主节点上面,除非有Pod能容忍这个污点,而通常容忍这个污点的Pod都是系统级别的Pod,例如:kube-system基本原理攻击者在获取到node节点的权限......
  • 【k8s安全】etcd未授权到控制k8s集群
    免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。在安装完K8s后,默认会安装etcd组件,etcd是一个高可用的key-value数据库,它为k8s集群提供底层数据存储,保存了......
  • linux新增物理卷,扩容逻辑分区,出现WARNING: xfs signature detected on /dev/vdb at of
    linux新增物理卷出现WARNING:xfssignaturedetectedon/dev/vdbatoffset0.Wipeit?[y/n]:标识这个/dev/vdb磁盘已经从0位置被标记为xfs类型的文件系统报错解释:这条信息表示在设备/dev/vdb上检测到了XFS文件系统的签名。通常情况下,这可能意味着分区/dev/vdb已被......