Update authentication.md
dangzhiqiang
GitHub
parent
0fe2eb6060
commit
93df4f27db
|
|
@ -102,7 +102,7 @@ password,user,uid,"group1,group2,group3"
|
||||||
|
|
||||||
Service account 是使用签名的 bearer token 来验证请求的额自动启用的验证器。该插件包括两个可选的标志:
|
Service account 是使用签名的 bearer token 来验证请求的额自动启用的验证器。该插件包括两个可选的标志:
|
||||||
|
|
||||||
- `--service-account-key-file` 一个包含签名 bearer token 的 PEM 编码文件。如果为指定,将使用 API server 的 TLS 私钥。
|
- `--service-account-key-file` 一个包含签名 bearer token 的 PEM 编码文件。如果未指定,将使用 API server 的 TLS 私钥。
|
||||||
- `--service-account-lookup` 如果启用,从 API 中删除掉的 token 将被撤销。
|
- `--service-account-lookup` 如果启用,从 API 中删除掉的 token 将被撤销。
|
||||||
|
|
||||||
Service account 通常 API server 自动创建,并通过 `ServiceAccount` [注入控制器](https://kubernetes.io/docs/admin/admission-controllers/) 关联到集群中运行的 Pod 上。Bearer token 挂载到 pod 中众所周知的位置,并允许集群进程与 API server 通信。 帐户可以使用 `PodSpec` 的 `serviceAccountName` 字段显式地与Pod关联。
|
Service account 通常 API server 自动创建,并通过 `ServiceAccount` [注入控制器](https://kubernetes.io/docs/admin/admission-controllers/) 关联到集群中运行的 Pod 上。Bearer token 挂载到 pod 中众所周知的位置,并允许集群进程与 API server 通信。 帐户可以使用 `PodSpec` 的 `serviceAccountName` 字段显式地与Pod关联。
|
||||||
|
|
@ -141,7 +141,7 @@ secrets:
|
||||||
- name: jenkins-token-1yvwg
|
- name: jenkins-token-1yvwg
|
||||||
```
|
```
|
||||||
|
|
||||||
创建出的 secret 中拥有 API server 的公共 CA 和前面的饿 JSON Web Token(JWT)。
|
创建出的 secret 中拥有 API server 的公共 CA 和前面的 JSON Web Token(JWT)。
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
$ kubectl get secret jenkins-token-1yvwg -o yaml
|
$ kubectl get secret jenkins-token-1yvwg -o yaml
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue