第 10 章 ServiceAccount [v1]
- 描述
- ServiceAccount 绑定在一起:一个名称,由用户理解,可能通过外设系统,对于一个可验证和授权的 Secret 的主体,它可以被验证并授权为 Secret
- 类型
-
对象
10.1. 规格
属性 | 类型 | 描述 |
---|---|---|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| AutomountServiceAccountToken 表示作为此服务帐户运行的 pod 是否应该自动挂载 API 令牌。可以在 pod 级别上覆盖。 |
|
| imagePullSecrets 是对同一命名空间中的 secret 的引用列表,用于拉取引用此 ServiceAccount 的 pod 中的任何镜像。imagePullSecrets 与 Secret 不同,因为 Secret 可以挂载到 pod 中,但 ImagePullSecrets 只能被 kubelet 访问。更多信息: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod |
|
| LocalObjectReference 包含足够信息,供您在同一命名空间中找到引用的对象。 |
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| secret 是允许使用此 ServiceAccount 运行的 pod 的同一命名空间中的 secret 列表。只有此服务帐户将 "kubernetes.io/enforce-mountable-secrets" 注解设置为 "true" 时,Pod 才会仅限于此列表。此字段不应用于查找自动生成的服务帐户令牌 secret,以便在 pod 之外使用。相反,可以使用 TokenRequest API 直接请求令牌,或者可以手动创建服务帐户令牌 secret。更多信息: https://kubernetes.io/docs/concepts/configuration/secret |
|
| ObjectReference 包含足够信息供您检查或修改引用的对象。 |
10.1.1. .imagePullSecrets
- 描述
- imagePullSecrets 是对同一命名空间中的 secret 的引用列表,用于拉取引用此 ServiceAccount 的 pod 中的任何镜像。imagePullSecrets 与 Secret 不同,因为 Secret 可以挂载到 pod 中,但 ImagePullSecrets 只能被 kubelet 访问。更多信息: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod
- 类型
-
数组
10.1.2. .imagePullSecrets[]
- 描述
- LocalObjectReference 包含足够信息,供您在同一命名空间中找到引用的对象。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 引用的名称。有效地需要此字段,但因为允许向后兼容为空。这里具有空值的此类实例几乎是错误的。更多信息: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names |
10.1.3. .secrets
- 描述
- secret 是允许使用此 ServiceAccount 运行的 pod 的同一命名空间中的 secret 列表。只有此服务帐户将 "kubernetes.io/enforce-mountable-secrets" 注解设置为 "true" 时,Pod 才会仅限于此列表。此字段不应用于查找自动生成的服务帐户令牌 secret,以便在 pod 之外使用。相反,可以使用 TokenRequest API 直接请求令牌,或者可以手动创建服务帐户令牌 secret。更多信息: https://kubernetes.io/docs/concepts/configuration/secret
- 类型
-
数组
10.1.4. .secrets[]
- 描述
- ObjectReference 包含足够信息供您检查或修改引用的对象。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 引用的 API 版本。 |
|
| 如果引用的是对象的一部分而非整个对象,则该字符串应包含有效的 JSON/Go 字段访问声明,如 desiredState.manifest.containers[2]。例如,如果对象引用是一个 pod 中的容器,它应该还以下类似: "spec.containers{name}"(其中 "name" 是指触发事件的容器的名称),如果不使用容器名称,则应类似于 "spec.containers[2]"(使用此 pod 中索引值为 2 的容器)。选择这个语法的原因是,为了有一些指向对象部分的正确定义方法。 |
|
| 引用的类型。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 引用的名称。更多信息: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names |
|
| 引用的命名空间。更多信息: https://kubernetes.io/docs/concepts/overview/working-with-objects/namespaces/ |
|
| 指定构成这个引用的 resourceVersion(如果存在)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#concurrency-control-and-consistency |
|
| 引用的 UID。更多信息: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#uids |