題目：建立 service account (名稱: ithome)，透過 cluster role (名稱: ithome-role) 授予此Service account權限能在叢集內list, get 及 watch Pods，其綁定物件 ClusterRoleBinding(名稱: ithome-role-binding)，最後建立pod (名稱: ithome)，使用image:nginx及service account(ithome)於預設的namespace

列出需建立的objects，被依賴的事物先建立，選擇以命令式的指令處理，這樣通常能加快完成時間，若需較豐富選項則輔以敘述式文件處理

1. service account：無指定namespace，將會位於default

• kubectl create serviceaccount ithome

2. clusterrole：需有list, get 和watch pods的權限

• kubectl create clusterrole ithome-role --verb=get,list,watch --resource=pods
• 可以下選項 -h取得指令說明
  
• 檢查權限內容
  

3. clusterRole binding：將前2者做綁定，注意serviceaccount格式需包含namespace

• kubectl create clusterrolebinding ithome-role-binding --clusterrole=ithome-role --serviceaccount=default:ithome

4. Pod：使用此serviceaccount，由於指令無此選項可指定service account，因此先假執行指令後匯出成底板文件

• kubectl run ithome --image=nginx --dry-run=client -o yaml > ithome-pod.yaml
  • 假執行，並以yaml形式匯出結果 --dry-run=client -o yaml
  • 存成文件 > ithome-pod.yaml
• 進入文件編輯：vi ithome-pod.yaml
• 在spec底下新增serviceAccountName

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: ithome
  name: ithome
spec:
  serviceAccountName: ithome # 新增此欄位
  containers:
  - image: nginx
    name: ithome
    resources: {}
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

• 使用此檔案建立pod：kubectl apply -f ithome-pod.yaml
• 確認成功設定serviceaccount於pod