9.3. 管理服务帐户
服务帐户是各个项目中存在的 API 对象。要管理服务帐户,您可以使用 oc
命令和 sa
或 serviceaccount
对象类型,或者使用 Web 控制台。
获取当前项目中现有服务帐户的列表:
$ oc get sa NAME SECRETS AGE builder 2 2d default 2 2d deployer 2 2d
要创建新服务帐户,请执行以下操作:
$ oc create sa robot serviceaccount "robot" created
一旦创建了服务帐户,会自动向其中添加两个 secret:
- API 令牌
- OpenShift Container Registry 的凭证
可以通过描述服务帐户来查看它们:
$ oc describe sa robot Name: robot Namespace: project1 Labels: <none> Annotations: <none> Image pull secrets: robot-dockercfg-qzbhb Mountable secrets: robot-token-f4khf robot-dockercfg-qzbhb Tokens: robot-token-f4khf robot-token-z8h44
系统确保服务帐户始终具有 API 令牌和 registry 凭据。
生成的 API 令牌和 registry 凭据不会过期,但可通过删除 secret 来撤销。删除 secret 时,会自动生成一个新 secret 来代替它。