Jimmy Song
GitHub
commit
c4136399a8
|
|
@ -102,7 +102,7 @@ password,user,uid,"group1,group2,group3"
|
|||
|
||||
Service account 是一个自动启用的验证器,它使用签名的 bearer token 来验证请求。该插件包括两个可选的标志:
|
||||
|
||||
- `--service-account-key-file` 一个包含签名 bearer token 的 PEM 编码文件。如果为指定,将使用 API server 的 TLS 私钥。
|
||||
- `--service-account-key-file` 一个包含签名 bearer token 的 PEM 编码文件。如果未指定,将使用 API server 的 TLS 私钥。
|
||||
- `--service-account-lookup` 如果启用,从 API 中删除掉的 token 将被撤销。
|
||||
|
||||
Service account 通常 API server 自动创建,并通过 `ServiceAccount` [注入控制器](https://kubernetes.io/docs/admin/admission-controllers/) 关联到集群中运行的 Pod 上。Bearer token 挂载到 pod 中众所周知的位置,并允许集群进程与 API server 通信。 帐户可以使用 `PodSpec` 的 `serviceAccountName` 字段显式地与Pod关联。
|
||||
|
|
@ -141,7 +141,7 @@ secrets:
|
|||
- name: jenkins-token-1yvwg
|
||||
```
|
||||
|
||||
创建出的 secret 中拥有 API server 的公共 CA 和前面的饿 JSON Web Token(JWT)。
|
||||
创建出的 secret 中拥有 API server 的公共 CA 和前面的 JSON Web Token(JWT)。
|
||||
|
||||
```bash
|
||||
$ kubectl get secret jenkins-token-1yvwg -o yaml
|
||||
|
|
|
|||
Loading…
Reference in New Issue