如何限制 Kubernetes 容器访问 API 服务器?
How can a Kubernetes container be restricted from accessing the API Server?
Kubernetes 自动将令牌和证书放入 pod 中每个 运行 容器的 /var/run/secrets/kubernetes.io/serviceaccount 中。此令牌允许从任何容器访问 API 服务器。
是否可以阻止将此目录添加到容器或指定具有零权限的服务帐户?
该令牌没有明确的权限。如果您 运行 使用 AllowAll 以外的任何授权模式,您会发现该帐户无法对 API 执行任何操作。
如果你想停止注入 API 令牌,你可以从列表中删除服务帐户准入控制器(在 apiserver 选项中)。
如果您想完全停止生成令牌,可以从控制器管理器启动选项中删除私钥参数。
Kubernetes 自动将令牌和证书放入 pod 中每个 运行 容器的 /var/run/secrets/kubernetes.io/serviceaccount 中。此令牌允许从任何容器访问 API 服务器。
是否可以阻止将此目录添加到容器或指定具有零权限的服务帐户?
该令牌没有明确的权限。如果您 运行 使用 AllowAll 以外的任何授权模式,您会发现该帐户无法对 API 执行任何操作。
如果你想停止注入 API 令牌,你可以从列表中删除服务帐户准入控制器(在 apiserver 选项中)。
如果您想完全停止生成令牌,可以从控制器管理器启动选项中删除私钥参数。