不等更新题库
CKS 题库 2、Pod指定ServiceAccount
Context
您组织的安全策略包括:
- ServiceAccount不得自动挂载API凭据
- ServiceAccount名称必须以“-sa”结尾
清单文件 /cks/sa/pod1.yaml 中指定的Pod由于ServiceAccount指定错误而无法调度。
请完成以下项目:
Task
- 在现有namespace qa服务器托管网 中创建一个名为 backend-sa 的新ServiceAccount,
确保此ServiceAccount不自动挂载API凭据。 - 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个Pod。
- 最后,清理 namespace qa 中任何 未使用的 ServiceAccount。
参考:
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#使用默认的服务账户访问-api-服务器
解答:
切换集群
kubectl config use-context KSCH00301
创建 ServiceAccount
vi qa-sa.yaml
qa-sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: backend-sa #修改为 对应的name
namespace: qa #namespace名称
automountServiceAccountToken: false #false为不自动挂载secret
应用 并 检查
kubectl -f qa-sa.yaml create
kubectl -n qa get sa
使用该SA创建 pod
vim /cks/sa/pod1.yaml
……
metadata:
name: backend
namespace: qa #注意命名空间是否对
spec:
serviceAccountName: backend-sa # 没有则添加一行,有则修改这一行为刚才创建的ServiceAccount(考试时,默认已有这一行,需要修改。)
containers:
……
删除未使用的 ServiceAccount
查看所有 SA
kubectl -n qa ge服务器托管网t sa
过滤已经在用的 SA
kubectl -n qa get pod -o yaml | grep -i serviceAccountName
删除不用的sa
kubectl -n qa delete sa test01
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
服务器托管网 前言 这是个啥,这就是个控制日志输出格式、控制日志输出位置、控制日志输出环境、控制日志输出级别的玩意、控制忽略输出的日志就这些功能,没有什么很复杂的东西,废话不说多了。 配置介绍 configuration configuration scan=…
