11.2. 默认服务帐户

OpenShift Container Platform 集群包含用于集群管理的默认服务帐户，并且为各个项目生成更多服务帐户。

几个基础架构控制器使用服务帐户凭证运行。服务器启动时在 OpenShift Container Platform 基础架构项目 (openshift-infra) 中创建以下服务帐户，并授予其如下集群范围角色：

服务帐户	描述
`replication-controller`	分配 `system:replication-controller` 角色
`deployment-controller`	分配 `system:deployment-controller` 角色。
`build-controller`	分配 `system:build-controller` 角色。另外，`build-controller` 服务帐户也包含在特权安全上下文约束中，以创建特权构建 Pod。

每个项目中会自动创建三个服务帐户：

服务帐户	使用方法
`builder`	由构建 Pod 使用。被授予 `system:image-builder` 角色，允许使用内部 Docker registry 将镜像推送到项目中的任何镜像流。
`deployer`	由部署 Pod 使用并被授予 `system:deployer` 角色，允许查看和修改项目中的复制控制器和 Pod。
`default`	用来运行其他所有 Pod，除非指定了不同的服务帐户。

项目中的所有服务帐户都会被授予 system:image-puller 角色，允许使用内部容器镜像 registry 从项目中的任何镜像流拉取镜像。

Select Your Language