2.6.2.3. 创建服务帐户令牌 secret
作为管理员,您可以创建一个服务帐户令牌 secret,该 secret 允许您将服务帐户令牌分发到必须通过 API 进行身份验证的应用程序。
注意
建议使用 TokenRequest API 获取绑定的服务帐户令牌,而不使用服务帐户令牌 secret。从 TokenRequest API 获取的令牌比存储在 secret 中的令牌更安全,因为它们具有绑定的生命周期,且不能被其他 API 客户端读取。
只有在无法使用 TokenRequest API 且在可读的 API 对象中存在非过期令牌时,才应创建服务帐户令牌 secret。
有关创建绑定服务帐户令牌的信息,请参阅下面的附加资源部分。
流程
在 control plane 节点上的 YAML 文件中创建
Secret对象:secret对象示例:apiVersion: v1 kind: Secret metadata: name: secret-sa-sample annotations: kubernetes.io/service-account.name: "sa-name" 1 type: kubernetes.io/service-account-token 2使用以下命令来创建
Secret对象:$ oc create -f <filename>.yaml
在 pod 中使用该 secret:
- 更新 pod 的服务帐户以引用 secret,如 "Understanding how to create secrets" 部分所示。
-
创建以环境变量或文件(使用 secret 卷)形式消耗
secret的 pod,如"正在创建 secret"部分所示。
其他资源
- 如需有关在 pod 中使用 secret 的更多信息,请参阅 了解如何创建 secret。
- 有关请求绑定服务帐户令牌的详情,请参考 使用绑定服务帐户令牌
- 有关创建服务帐户的详情,请参阅 了解并创建服务帐户。
