Можно ли удалить учетную запись службы «по умолчанию» в определенном пространстве имен?
Меня смутил один из вопросов экзамена CKS: его попросили найти и удалить сервисную учетную запись, которая не используется.
Не было модулей, использующих сервисную учетную запись «по умолчанию», должен ли я был тогда удалить и ее?
Ответы 2
Ответ: да, вы можете удалить учетную запись службы «по умолчанию», если она не используется.
Ваш ответ можно улучшить, добавив дополнительную вспомогательную информацию. Пожалуйста, отредактируйте , чтобы добавить дополнительную информацию, например цитаты или документацию, чтобы другие могли подтвердить правильность вашего ответа. Более подробную информацию о том, как писать хорошие ответы, вы можете найти в справочном центре.
Все должно быть хорошо, но он будет автоматически воссоздан , и если вы создадите модуль (напрямую или через API рабочей нагрузки) в том же пространстве имен, ему будет назначена новая учетная запись службы по умолчанию (при условии, что для модуля явно не настроена другая учетная запись службы).
Имейте в виду, что если у вас уже работают существующие модули и эти модули взаимодействуют с kube-apiserver, они не смогут связаться с ним, пока не будут воссозданы, поскольку учетные данные сервисной учетной записи будут недействительны.
В документе говорится, что всякий раз, когда вы создаете новое пространство имен, оно создает SA. Но там также написано, что если вы удалите его, кластер автоматически создаст его заново? это происходит сразу или это происходит, когда модуль создается, и если он не видит SA по умолчанию, он создает его?!! (нужно попробовать, как будет возможность)
Это произойдет сразу после удаления. Вы увидите, что секрет новой учетной записи службы по умолчанию отличается от того, который вы удалили ранее.
Верно. Я стоял перед дилеммой: стоит мне это делать или нет. Чтобы проверить, используется ли SA по умолчанию или нет, нам нужно просто проверить модули, или я что-то упускаю?
kubectl get pods -n NAMESPACE -o yaml | grep -i serviceaccount!!