多种控制器一起协同工作,监控并维持pod的稳定性。
打包成一个服务,提供多种控制器和选项。
kubeadmin中会将kube-controller作为pod部署在主节点的kube-system命名空间中。
查看选项方式
kubeadmin:
cat /etc/kubernetes/mainfests/kube-controller-manager.yaml常规部署:
cat /etc/systemd/system/kube-controller-manager.service列出主节点上的进程并搜索apiserver来查看正在运行的进程和有效选项
ps -aux | grep ku[......]k create rolebinding my-rolebinding -n app-team1 --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token根据题意确定生效范围进而创建rolebinding或者clusterrolebinding
验证权限生效
candidate@node01:~$ k auth can-i create deployment --as system:serviceaccount:app-team1:cicd-token
no
candidate@no[......]用于给程序验证,运行各种服务
创建时自带token
token被存储成secret
新版本生成的pod不会自带token
或者自带的service账号里面不包含token
kubectl set serviceaccount deploy/web-dashboard dashboard-sa给已有的delpoy重新配置service account
serviceAccount: dashboard-sa
serviceAccountName: dashboard-sa容器配置文件中和container对齐
pod挂载service account
service account 引用se[……]