Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >问答首页 >为什么K8s自动生成的服务帐户令牌与直接从服务帐户检索的令牌不同？

问为什么K8s自动生成的服务帐户令牌与直接从服务帐户检索的令牌不同？
EN

Stack Overflow用户

提问于 2022-05-02 15:26:49

回答 1查看 313关注 0票数 2

假设我创建了一个服务帐户并检索与其关联的令牌：

kubectl -n myexample describe sa myexample-sa

kubectl describe secret myexample-sa-token-xxxxx

令牌的值：

token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IkpHWGxoRlNRTklaWjVzQTh2dmZMWVVsM1haclpRbXRVTEpFZnNUcER6RnMifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZXZlbG9wbWVudCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJteWV4YW1wbGUtc2EtdG9rZW4tOGw3cnciLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoibXlleGFtcGxlLXNhIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiNTM1NDhjNTUtZmJlYS00MDc1LThhNDYtNTVhZDQwN2VmYzMxIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRldmVsb3BtZW50Om15ZXhhbXBsZS1zYSJ9.FJMK2PIsloJRqGGIYAs_ZLpVn9-aW4UPWnGvrnNDscAWHtpatTknAJ0T075gXD86X6j_EShp7JLfv5J_aNRTHJWsYNzJIOXH0ZipdvsMW2oMfEK-VCDLgxlJnT3xikIYaFgYRgmw2-iraSiC-HcSmuuF8XPJgW93JNHqy2Vw2lka9GUzaxoD9D4UAvISk19peHPfDJZjEjr4r5QCUljQz8Va72dwOqNh3b01OI0-7epoRWjEjtCCOhKYyu2hErroo6IlaiUchN_VKTrL5182POMONYmKYrP0Z4ymX0AoA9dkKKbLjtm-Vkxp3B6xhtIrvaJ4upGH2AVNYSFb9aYacg

然后，我在部署中创建一个pod，并将上面的服务帐户与pod关联起来：

...
spec:
  template:
    spec:
      serviceAccountName: myexample-sa
...

现在，在部署了吊舱之后，我将exec部署到它：

kubectl -n myexample exec -it name-of-pod -- /bin/bash

如果我跑了

cat /var/run/secrets/kubernetes.io/serviceaccount/token

产出如下：

eyJhbGciOiJSUzI1NiIsImtpZCI6IkpHWGxoRlNRTklaWjVzQTh2dmZMWVVsM1haclpRbXRVTEpFZnNUcER6RnMifQ.eyJhdWQiOlsidW5rbm93biJdLCJleHAiOjE2ODMxMjk2ODQsImlhdCI6MTY1MTU5MzY4NCwiaXNzIjoicmtlIiwia3ViZXJuZXRlcy5pbyI6eyJuYW1lc3BhY2UiOiJkZXZlbG9wbWVudCIsInBvZCI6eyJuYW1lIjoic3RhdGljLXdlYiIsInVpZCI6ImZmNjMyOTU4LTM5MDctNDkyOS1hZGJjLWFjY2UyYzhkMTMxOCJ9LCJzZXJ2aWNlYWNjb3VudCI6eyJuYW1lIjoibXlleGFtcGxlLXNhIiwidWlkIjoiNTM1NDhjNTUtZmJlYS00MDc1LThhNDYtNTVhZDQwN2VmYzMxIn0sIndhcm5hZnRlciI6MTY1MTU5NzI5MX0sIm5iZiI6MTY1MTU5MzY4NCwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRldmVsb3BtZW50Om15ZXhhbXBsZS1zYSJ9.Po-kZUo8nhOnJGxuHtvz6806QgLqPaztS0iWCNpnY0WCfpbRsmt2SWPckMo4P535DTqEJyDslUCF0loL0Tw2RNZxhHwRa-ul3P2G_9CmeApvGTX4nwyBFXjllsAWDiKWJkrxzpEkS0vf2N4r-9mGlEGkIWmPbUyDRD5LyeVmFMgPLNWYBLlAVG9qN5aJ5zzOq9pDFeY5jSXnOl3Ii3ddCZVxhnHDCGkFzu6w_YWkC-7iN68TlykwZb9wy2tFydCpAsPA

我将此标记与上面检索的令牌进行了比较(请参阅前2条命令)，它们是不同的！这个令牌值不应该和我为myexample-sa-token-xxxxx得到的那个完全相同吗？

kubernetes-apiserver

k8s-serviceaccount

向量数据库

传统知识库搭建耗时费力？腾讯云向量数据库 + Dify混合检索，轻松实现高效知识管理与精准问答！

EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2022-05-04 05:03:59

不，当类型是服务帐户令牌卷投影时，它们不应该是相同的，这就是上面的情况。

服务帐户令牌数量投影:将一个短暂的、自动旋转的Kubernetes服务帐户令牌安装到Pod中。此令牌是一个OpenID连接令牌，可用于对Kubernetes和其他外部服务进行身份验证。

服务帐户令牌体积投影

您可以使用jwt.io解码令牌，并查看有效负载。一个是代表服务帐户，另一个实际上是绑定到pod。

另外，请注意，K8s管理和旋转pod键。

kubelet将代表pod请求并存储令牌，在可配置的文件路径上将令牌提供给pod，并在令牌即将到期时刷新令牌。当令牌大于其总TTL的80%时，或者如果令牌大于24小时，kubelet会主动旋转该令牌。

票数 0

EN

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/72093374

复制

相关文章

alert object var

ECMAScript中大多数的引用类型都值都是Object类型的实例，Object也是使用最多的一个类型，主要用来在程序中存储和传输数据

河岸飞流

2019/09/11

5390

JavaScript引用类型之Object类型

在JavaScript中大多数的引用类型都是Object的实例，Object类型也是使用最多的类型！创建Object类型实例的方式有两种，下面分别来分析一下: (1)第一种是使用new操作符后跟Object构造函数,代码如下: var perosn=new Object(); person.name="张三"; person.age=22; (2)第二种方式使用对象字面量表示法。对象字面量是对象定义的一种简写方式,目地就是为了简化创建含有大量属性和方法的对象的过程。代码如下: var person={ n

郑小超.

2018/01/24

8890

变量类型测试函数的使用：六、is_object的用法

编程算法 php

讲完PHP变量类型测试函数【is_array】的用法，今天来讲讲PHP变量类型测试函数【is_object】的用法。

大脸猫

2020/07/06

7110

变量类型测试函数的使用：六、is_object的用法

匿名类型和Object转换

本文转载：http://www.cnblogs.com/JustRun1983/archive/2012/05/13/2497997.html

跟着阿笨一起玩NET

2018/09/18

8000

一文读懂 TS 中 Object, object, {} 类型之间的区别

typescript 编程算法 javascript ide 打包

TypeScript 2.2 引入了被称为 object 类型的新类型，它用于表示非原始类型。在 JavaScript 中以下类型被视为原始类型：string、boolean、number、bigint、symbol、null 和 undefined。

阿宝哥

2020/04/08

18.2K0

判断Object中数据类型（已知类型、未知类型））

hashmap object string 数据数据类型

接收到的数据类型为Object，如果知道数据的类型可以使用ObjectMapper进行处理，得到里面的参数。

ha_lydms

2023/08/09

3120

object到底是什么类型

java 面向对象编程 jquery javascript

instanceof运算符用来判断某个构造函数的prototype属性所指向的对象是否存在于另外一个要检测对象的原型链上。

用户7293182

2022/01/06

3970

java中将Object类型转换成String类型[通俗易懂]

编程算法 https java 网络安全

从下图（a图）的String类的valueOf(Object)的源码可以看到，当传入的值为null的时候返回的是“null”字符串，而不是null，所以在这里如果想判断这个string的值不为空的时候，应该用字段串相关判断不为空的方法例如用equals方法。示例如下（b图）

全栈程序员站长

2022/08/30

1.3K0

java中将Object类型转换成String类型[通俗易懂]

JS原生引用类型解析1-Object类型

（注1：如果有问题欢迎留言探讨，一起学习！转载请注明出处，喜欢可以点个赞哦！）（注2：更多内容请查看我的目录。）

love丁酥酥

2018/08/27

2.2K0

ElasticSearch数据类型Object介绍

JSON文档本质上是分层的：文档可能包含内部对象，而内部对象又可能包含内部对象本身：

xdd

2022/07/12

1.2K0

红宝书 📒 6.1 集合应用类型-object

字面量的声明方式更为常用。在使用对象字面量表示法定义对象时，并不会实际调用Object构造函数。

用户4793865

2023/01/12

2650

TypeScript-never和object类型、类型断言概述

2023腾讯·技术创作特训营第二期

TypeScript 中的 "never" 类型表示一个永远不会发生正常结束的函数返回值类型，通常在异常处理或无限循环中使用。这有助于标识代码中的潜在问题和错误流程。

杨不易呀

2023/09/28

2680

TypeScript-never和object类型、类型断言概述

js中Object类型的一些特点

这种方法简单，直接，但感觉也太随意了，当需要定义大量的属性或方法时，会给人一种凌乱不堪的感觉。

风柏杨4711

2021/03/15

1K0

java string 转 object_java 类型转换 Object和String互转

java https 面向对象编程网络安全数据结构

但是，使用toString()的对象不能为null，否则会抛出异常java.lang.NullPointerException

全栈程序员站长

2022/09/05

2.5K0

【Flutter】Dart 数据类型 ( var 数据类型 | Object 数据类型 )

flutter dart 变量博客数据类型

var 也是定义变量的关键字 , 使用 var 声明变量 , 也是由系统根据该变量的赋值自动推断该变量的数据类型 ; 该用法与 dynamic 关键字定义的变量类似 ;

韩曙亮

2023/03/28

3K0

【Flutter】Dart 数据类型 ( var 数据类型 | Object 数据类型 )

无法解析类型java.lang.Object_java类型转换异常

java hashmap json https 网络安全

java.lang.ClassCastException: java.util.LinkedHashMap cannot be cast to com.xxx.xxxx.entity.xxxx

全栈程序员站长

2022/10/03

1.2K0

无法解析类型java.lang.Object_java类型转换异常

Java-类型转换，String转Object和Object转String「建议收藏」

编程算法 https java 网络安全 python

String 转换 Object : 使用类似 Obj.parseObj(String) , Obj.valueOf(String)

全栈程序员站长

2022/06/30

6K0

Java-类型转换，String转Object和Object转String「建议收藏」

Dart 中变量类型 var, Object, dynamic 区别

Dart 中弱类型有var, Object 以及dynamic，本文主要探讨一下这三者的区别

莫斯

2020/09/10

1.6K0

Dart 中变量类型 var, Object, dynamic 区别

Object转换为String[]数组，或者其他类型的数组

java https 编程算法网络安全

可以通过向下转型来获得，但是不知道为什么包类异常，最后我采用的方法如下：

全栈程序员站长

2022/09/02

2.7K0

点击加载更多

相似问题

错误:预期的声明，使用未声明的类型'Object'，使用未声明的类型'JSON‘

10

未声明类型的使用

12

“‘object”未声明<在此function>中首次使用

21

未声明类型"NSManagedObjectModel“的使用

14

未声明类型“MessagingDelegate”的使用

10

活动推荐

媒体处理专属优惠，福利大放送！

添加站长进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例