11.2. デフォルトのサービスアカウント
OpenShift Container Platform クラスターには、クラスター管理用のデフォルトのサービスアカウントが含まれ、各プロジェクトのサービスアカウントは追加で生成されます。
11.2.1. デフォルトのクラスターサービスアカウント
一部のインフラストラクチャーコントローラーは、サービスアカウント認証情報を使用して実行されます。以下のサービスアカウントは、サーバーの起動時に OpenShift Container Platform インフラストラクチャープロジェクト (openshift-infra) に作成され、クラスター全体での以下のロールが付与されます。
| サービスアカウント | 説明 |
|---|---|
|
|
|
|
|
|
|
|
|
11.2.2. デフォルトのプロジェクトサービスアカウントおよびロール
3 つのサービスアカウントが各プロジェクトで自動的に作成されます。
| サービスアカウント | 使用法 |
|---|---|
|
|
ビルド Pod で使用されます。これには 注記
|
|
|
デプロイメント Pod で使用され、 注記
|
|
| 別のサービスアカウントが指定されていない限り、その他すべての Pod を実行するために使用されます。 |
プロジェクトのすべてのサービスアカウントには system:image-puller ロールが付与されます。このロールがあることで、内部コンテナーイメージレジストリーを使用してイメージをイメージストリームからプルできます。
11.2.3. 自動的に生成されたイメージプルシークレット
OpenShift Container Platform は、デフォルトで各サービスアカウントに対してイメージプルシークレットを作成します。
OpenShift Container Platform 4.16 より前では、作成されたサービスアカウントごとに、長期間有効なサービスアカウント API トークンシークレットも生成されていました。OpenShift Container Platform 4.16 以降では、このサービスアカウント API トークンシークレットは作成されません。
4.16 にアップグレードした後も、既存の長期有効サービスアカウント API トークンシークレットは削除されず、引き続き機能します。クラスターで使用されている長期有効 API トークンを検出する方法、または不要な場合に削除する方法については、Red Hat ナレッジベースの記事 Long-lived service account API tokens in OpenShift Container Platform を参照してください。
このイメージプルシークレットは、OpenShift イメージレジストリーをクラスターのユーザー認証および認可システムに統合するために必要です。
ただし、ImageRegistry 機能を有効にしていない場合、または Cluster Image Registry Operator の設定で統合済みの OpenShift イメージレジストリーを無効にしている場合、イメージプルシークレットはサービスアカウントごとに生成されません。
統合済みの OpenShift イメージレジストリーを有効にしていたクラスターでそれを無効にすると、以前に生成されたイメージプルシークレットが自動的に削除されます。
