我现在正在学习Kubernetes,并对Kubernetes用户有疑问。我学会了如何创建用户以及如何限制按角色访问,但何时应该使用它?例如,如果恶意用户(不是k8s用户,而是操作用户)穿透k8s服务器,他们可以轻松切换管理员(如果他们可以看到.kube/config)。除此之外,如果用户切换他或她的用户帐户并忘记切换回来,则进入下一个用户的另一个人也可以使用第一个用户的帐户。我怀疑我是否误解了k8s用户的用法,但似乎没有关于为什么k8s准备它的文件。我假设用户仅用于从pod中执行某些操作,但如果是这样,用户和服务帐户之间的区别是什么?
Kubernetes对用户有一个非常宽松的想法。它知道身份验证是一个东西,并且它的输出是一个名称,也许是一些组和标签。但实际上它只是将信息传递给授权插件来决定是否允许给定的请求。 ServiceAccounts是一种特定的对象类型,因为它们会为您生成由群集签名的JWT,但是没有特定的用户类型,它只存在于您的身份验证插件的上下文中。