OpenShift：是否可以在两个不同的服务帐户中使用相同的秘密令牌？_Openshift

OpenShift：是否可以在两个不同的服务帐户中使用相同的秘密令牌？

openshift

OpenShift：是否可以在两个不同的服务帐户中使用相同的秘密令牌？,openshift,Openshift,我正在尝试将两个不同的服务帐户设置为使用同一令牌，以便在执行此操作时： oc get pods-n$PROJECT--server=$URL--token=$token 我将使用相同的令牌访问两个不同的命名空间。。。可能吗？不可能用同一令牌标识两个不同的服务帐户。令牌有一个注释，kubernetes.io/service account.name，用于标识它所属的服务帐户，例如，以下令牌映射到serviceaccount1： $ oc describe secret serviceaccoun

我正在尝试将两个不同的服务帐户设置为使用同一令牌，以便在执行此操作时：

oc get pods-n$PROJECT--server=$URL--token=$token

我将使用相同的令牌访问两个不同的命名空间。。。

可能吗？

不可能用同一令牌标识两个不同的服务帐户。令牌有一个注释，

kubernetes.io/service account.name

，用于标识它所属的服务帐户，例如，以下令牌映射到

serviceaccount1

：

$ oc describe secret serviceaccount1-token-mwhh7 -n project1
Name:   serviceaccount1-token-mwhh7
Namespace:  project1
Labels:   <none>
Annotations:  kubernetes.io/service-account.name=serviceaccount1
    kubernetes.io/service-account.uid=23f96072-342e-11e8-9218-fec13b217f77

Type: kubernetes.io/service-account-token

oc policy add-role-to-user view system:serviceaccount:project2:serviceaccount2 -n project1

$ oc get pods -n project1 --token=<serviceaccount2-token>
NAME                READY     STATUS    RESTARTS   AGE
django-ex-1-build   1/1       Running   0          9m

以及各一个服务帐户：

oc create sa serviceaccount1 -n project1
oc create sa serviceaccount2 -n project2

然后授予

project2

中的

serviceaccount2

查看

project1

的权限：

$ oc describe secret serviceaccount1-token-mwhh7 -n project1
Name:   serviceaccount1-token-mwhh7
Namespace:  project1
Labels:   <none>
Annotations:  kubernetes.io/service-account.name=serviceaccount1
    kubernetes.io/service-account.uid=23f96072-342e-11e8-9218-fec13b217f77

Type: kubernetes.io/service-account-token

oc policy add-role-to-user view system:serviceaccount:project2:serviceaccount2 -n project1

$ oc get pods -n project1 --token=<serviceaccount2-token>
NAME                READY     STATUS    RESTARTS   AGE
django-ex-1-build   1/1       Running   0          9m

然后，我们可以获得

serviceaccount2

的令牌：

oc serviceaccounts get-token serviceaccount2

并使用它访问

项目1

：

$ oc describe secret serviceaccount1-token-mwhh7 -n project1
Name:   serviceaccount1-token-mwhh7
Namespace:  project1
Labels:   <none>
Annotations:  kubernetes.io/service-account.name=serviceaccount1
    kubernetes.io/service-account.uid=23f96072-342e-11e8-9218-fec13b217f77

Type: kubernetes.io/service-account-token

oc policy add-role-to-user view system:serviceaccount:project2:serviceaccount2 -n project1

$ oc get pods -n project1 --token=<serviceaccount2-token>
NAME                READY     STATUS    RESTARTS   AGE
django-ex-1-build   1/1       Running   0          9m

$oc get pods-n project1——令牌=
名称就绪状态重新启动
django-ex-1-build 1/1运行0 9m