k8s useraccount 和serviceaccount

k8s当中权限设计有 认证有

1. 账号认证   ssl 证书公私钥 和token认证两种(secret)

2. 第二步做权限组认证

rbac  基于角色的访问控制 role

abac 基于属性的访问控制attibute

node 基于节点的访问控制

3. 准入控制基于资源的关联资源的准入控制

 

 

useraccount 作用是在外部访问的时候使用,给人使用所有的namespace都可以使用 

sa  serviceaccount 是为了资源内部的pod访问kubernetes API访问实际的  sa 一般都哟namespace范围      每个namespace 创建的时候默认创建一个sa   同时默认创建一个sa 访问api的secret

 

开启sa controller后每次都会默认的

指定创建的pod的sa为default 除非指定 sa ,验证sa的pod是否存在否则拒绝连接

3. 如果sa指定了imagepullsecret   pod中没有,sa默认会将sa中的imagepullsecret 填入pod中