Role，Rolebinding与serviceAccount

ServiceAccount

单个pod可以通过/var/run/secrets/kubernetes.io/serviceaccount/token中的内容进行身份认证。

使用命令进入pod中

kubectl exec -it two-pod -c debian bash

查看目录/var/run/secrets/kubernetes.io/serviceaccount/token下的内容，一般pod就会使用该token去与服务器认证。

ca.crt  namespace  token

serviceaccount在k8s中也是一种资源，可以自己创立的。在pod中可以将该pod与某个特定serviceaccount相关联。

Name:	foo
Namespcae:	default
Lables: <none>
Image pull secrets: <none>     //该Image会被自动添加到使用了该serviceaccount的pod
Mountable secrets: foo-token-qzq7j    
Tokens:    foo-token-qzq7j //认证所使用的token

ServiceAccount的使用

查看该pod/var/run/secrets/kubernetes.io/serviceaccount/目录下的token文件，其内容与foo所使用的token一致。

apiVersion: v1
kind: Pod
metadata:
  name: downward
  labels:
   foo: downward
spec:
  serviceAccountName: foo
  containers:
  - image: debian 
    name: main
    command:["bash"]
    volumeMounts:
    - name : downward
      mountPath: /etc/downward
  volumes:
  - name: downward
    downwardAPI:
	items:
	- path: "podName"
	   fieldRef:
	          fieldPath:metadata.name

Role

该yaml文件定义了一个角色资源，该角色拥有两项权力，一是get，一是list。同时该角色只有权使用foo space下的seevices。

apiVersion: v1
kind: Role
metadata:
  name: service-reader
  namespace： foo
rules:
- apiGroups: [""]
  verbs: ["get","list"]
  resources: ["services"]

Rolebinding

apiVersion: v1
kind: RoleBinding
metadata:
  name: fortune
  namespace： foo

roleRef:     //角色
   apiGroup:
   kind: role
   name: service-reader
subjects:   //serviceAccount
   - kind: serviceAccount
     name: default
     namespace: foo