Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

12.6. 컨테이너 측에서 서비스 계정의 자격 증명 사용

Pod가 생성되면 서비스 계정을 지정합니다(또는 기본 서비스 계정을 사용), 해당 서비스 계정의 API 자격 증명 및 참조 보안을 사용할 수 있습니다.

Pod 서비스 계정에 대한 API 토큰이 포함된 파일은 /var/run/secrets/kubernetes.io/serviceaccount/token 에 자동으로 마운트됩니다.

해당 토큰은 Pod의 서비스 계정으로 API 호출을 수행하는 데 사용할 수 있습니다. 이 예제에서는 users/~ API를 호출하여 토큰으로 식별되는 사용자에 대한 정보를 가져옵니다.

$ TOKEN="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)"

$ curl --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt \
    "https://openshift.default.svc.cluster.local/oapi/v1/users/~" \
    -H "Authorization: Bearer $TOKEN"

kind: "User"
apiVersion: "user.openshift.io/v1"
metadata:
  name: "system:serviceaccount:top-secret:robot"
  selflink: "/oapi/v1/users/system:serviceaccount:top-secret:robot"
  creationTimestamp: null
identities: null
groups:
  - "system:serviceaccount"
  - "system:serviceaccount:top-secret"