Использовать учетную запись службы или учетную запись пользователя для развертывания Kubernetes?

Question

Я новичок в Kubernetes и играю с Kubernetes-RBAC.Я хочу ограничить доступ к своему кластеру для разных пользователей.Как я понял, Service-Accounts предназначены для внутрикластерных процессов, выполняющихся внутри модулей, которые хотят проходить аутентификацию по API.

Поэтому я должен использовать User-Accounts для Buildservers и доступ извне кластера через файл kubeconfig-file?Или каковы лучшие практики в этом случае?

Разве плохо использовать учетные записи служб для доступа к кластеру удаленно?

Answer 1

kubernetes не имеет объекта пользователя.рекомендуем использовать сервисную учетную запись для развертываний

Answer 2

Вы должны использовать обычную систему аутентификации пользователей Kubernetes для аутентификации агентов автоматизации, работающих вне кластера. Служебные учетные записи могут использоваться только модулями, работающими внутри кластера (если только вы не зашли слишком далеко, чтобы «одолжить» токен учетной записи службы). Вы можете сделать такие вещи, как настройка RoleBinding , чтобы дать специальное разрешение на создание и удаление объектов Kubernetes для пользователя вашей системы CD.