小桀
02.ServiceAccount

02.ServiceAccount

ServiceAccount

当您创建Pod的时候,如果您没有指定一个ServiceAccount,系统会自动得在与该pod相同的namespace下为其指派一个Default ServiceAccount。如果您获取刚创建的pod的原始json或yaml信息,您将看到spec.serviceAccountName字段已经被设置为default。

2022-01-06-11-02-19

在1.6以上版本中,您可以选择取消为ServiceAccount自动挂载API凭证,只需在ServiceAccount中设置automountServiceAccountToken: false(我已经进行了相关的实验,可以在相关类目下找到)。

1
2
3
4
5
6
7


apiVersion: v1
kind: ServiceAccount
metadata:
  name: build-robot
automountServiceAccountToken: false

在1.6以上的版本中,也可以选择只取消单个Pod的API凭证自动挂载。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: build-robot
  automountServiceAccountToken: false
  ...

如果同时在ServiceAccount和Pod中设置了automountServiceAccountToken,则Pod的优先级更高。