这kubernetes 文档在“从 Pod 内部访问 API”下声明以下内容:
从 Pod 使用 Kubernetes API 的最简单方法是使用官方客户端库之一。这些库可以自动发现 API 服务器并进行身份验证。
我有 Pod 正在运行忒伊亚,一个基于云的 IDE,每个用户都可以访问其容器的控制台。他们是否可以在不进行身份验证的情况下从该容器访问 Kubernetes API?
答案1
我发现了一些其他文件这进一步解释了事情。显然,pod 被分配给default服务帐户,而服务帐户(据我所知)默认情况下不附带任何权限。如果 pod 需要更多权限,您可以创建一个具有自己的角色绑定的自定义服务帐户,然后使用该spec.serviceAccountName属性分配 pod 使用该服务帐户,而不是默认使用。