我已经在命名空间NS1中创建了一个服务号SA1,并为SA1设置了一个完整的配置(GCP中的工作负载标识)。我需要在来自不同命名空间的pod中使用服务号SA1。现在我在命名空间NS1中使用SA1的pod
apiVersion: v1
kind: Pod
metadata:
name: my-pod
namespace: NS1
spec:
serviceAccountName: SA1
ServiceAccount是库伯内特斯中的命名空间资源,这意味着它只能从部署在同一命名空间中的pod中引用。
这是设计上的,命名空间充当逻辑容器,您可以在其上应用访问策略,并且一个命名空间中的pod不应该能够从另一个(可能不相关的)命名空间“窃取”服务帐户
