Kubernetes 在哪里挂载服务帐户机密?
Where does Kubernetes mount service account secrets?
创建 Pod 时,它总是分配给某个服务帐户 - default 或指定的其他帐户。
The documentation 表示将自动安装服务帐户的 API 凭据,除非另有说明:
In version 1.6+, you can opt out of automounting API credentials for a service account by setting automountServiceAccountToken: false on the service account [...]
In version 1.6+, you can also opt out of automounting API credentials for a particular pod [...]
但是,我不确定这些秘密安装在哪里。
它们安装在 /var/run/secrets/kubernetes.io/serviceaccount。服务帐户的 API 令牌可用作 token(即 /var/run/secrets/kubernetes.io/serviceaccount/token),对于服务帐户的其余相关秘密以此类推。
这在官方文档"Accessing Clusters"中有描述。
创建 Pod 时,它总是分配给某个服务帐户 - default 或指定的其他帐户。
The documentation 表示将自动安装服务帐户的 API 凭据,除非另有说明:
In version 1.6+, you can opt out of automounting API credentials for a service account by setting
automountServiceAccountToken: falseon the service account [...]In version 1.6+, you can also opt out of automounting API credentials for a particular pod [...]
但是,我不确定这些秘密安装在哪里。
它们安装在 /var/run/secrets/kubernetes.io/serviceaccount。服务帐户的 API 令牌可用作 token(即 /var/run/secrets/kubernetes.io/serviceaccount/token),对于服务帐户的其余相关秘密以此类推。
这在官方文档"Accessing Clusters"中有描述。