如何在部署上配置非默认 serviceAccount答案

【问题标题】：How to configure a non-default serviceAccount on a deployment如何在部署上配置非默认 serviceAccount
【发布时间】：2017-11-14 06:50:59
【问题描述】：

我对@987654321@ 的理解是，我可以使用 Pod 配置服务帐户，希望也可以部署，因此我可以在 Kubernetes 1.6+ 中访问 k8s API。为了不更改或使用默认值，我想创建服务帐户并将证书挂载到部署的 pod 中。

我如何实现与此示例中类似的部署？

apiVersion: v1
kind: Pod
metadata:
   name: my-pod
spec:
  serviceAccountName: build-robot
  automountServiceAccountToken: false

【问题讨论】：

我认为您需要在问题中提供更多细节
@JanosLenart 由于过境，将在一两个小时内完成。谢谢

标签： kubernetes service-accounts

【解决方案1】：

由于您还需要在 Deployment 中指定“podSpec”，因此您应该能够以相同的方式配置服务帐户。比如：

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: my-deployment
spec:
  template:
    # Below is the podSpec.
    metadata:
      name: ...
    spec:
      serviceAccountName: build-robot
      automountServiceAccountToken: false
      ...

【讨论】：

如何通过 serviceaccountName 传递命名空间？
是否可以在命名空间下指定特定的 serviceAccountName？因此，我不需要更改 Pod、部署 yaml 文件。
也在寻找这个答案：如何指定服务帐户的命名空间？ GKE
要在命名空间下指定服务帐户，请使用 -n 标记。或在服务帐户文件中执行此操作。例如：apiVersion: v1 kind: ServiceAccount metadata: name: ServiceAccountName namespace: ServiceAccountNamespace，如果没有在文件中指定，您可以使用 kubectl apply -f filename.yaml 或 kubectl apply -f filename -n ServiceAccountNamespace 创建文件
在部署文件中提供这样的 serviceaccount 而根本不提供并在 ns 中为 rbac 提供自定义服务帐户有什么用？