---

Kubernetes 中用户分登陆用户和 service account。登陆用户可通过 kubectl config 查看上下文，以及当前上下文：

[root@chunqiu ~ (Master)]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/ssl/ca.pem
    server: https://k8s-apiserver:8443
  name: bcmt-kubernetes
contexts:
- context:
    cluster: bcmt-kubernetes
    namespace: default
    user: kubectl
  name: kubectl-context
current-context: kubectl-context
kind: Config
preferences: {}
users:
- name: kubectl
  user:
    client-certificate: /etc/kubernetes/ssl/cluster-admin.pem
    client-key: /etc/kubernetes/ssl/cluster-admin-key.pem

可以在当前上下文中通过 --user 选项使用其它用户访问当前上下文。

serviceaccout 是默认命名空间就会创建，如果不显示指定 serviceaccount，kubernetes 会为 pod 配置默认 serviceaccount。

serviceaccount 是进程访问 APIServer 的方式，那进程有什么权限访问呢？这就涉及到鉴权了，kubernetes 有多种鉴权方式，RBAC 是常见的鉴权方式，RBAC 定义了进程及用户能够以什么方式访问 kubernetes 的哪些资源。RBAC 和 serviceaccount 之间的桥梁即是 rolebinding。

通过鉴权的访问请求最后会进入到准入控制插件的“筛查”，准入控制插件会配置 pod 的相关信息，如果缺省配置默认值，如果有查看是否准入等。

根据对 APIServer 不同层面的访问，APIServer 会提示不一样的报错，鉴权失败，权限不够等等。

psp 是准入控制的插件之一，配置了集群内 pod 的安全属性。

参考文章：
Controlling Access to the Kubernetes API
Cluster Administration