k8s学习笔记之九: Service Account
第一章、前言
- 每一个用户对API资源进行操作都需要通经过以下三个步骤:
- 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限
- token(共享秘钥)
- SSL(双向SSL认证)
- ....
通过任何一个认证即表示认证通过,进入下一步
第二步:授权检查,确认是否对资源具有相关的权限- ABAC(基于属性的访问控制)
- RBAC(基于角色的访问控制)
- NODE(基于节点的访问控制)
- WEB HOOK(自定义HTTP回调方法的访问控制)
- 第三步:准入控制(对操作资源相关联的其他资源是否有权限操作)
Kubernetes只对以下的API请求属性进行检查:
- user - username,uid
- group - user group
- "extra"- 额外信息
- API - API资源的对象
- Request path - 请求资源的路径(k8s使用resultful风格接口的API)
- http://Node_IPaddr:6443/apis/apps/v1/namespaces/namespaces_name/resource_name/
- HTTP 请求动作 - HTTP verbs get,post,put,和delete用于非资源请求
- HTTP 请求动作映射到 API资源操作- get,list,create,update,patch,watch,proxy,redirect,delete,和deletecollection用于请求resource
- Resource -被访问(仅用于resource 请求)的resource 的ID或名字- *对于使用resource 的请求get,update,patch,和delete,必须提供resource 名称。
- Subresource - 正在访问的subresource (仅用于请求resource )
- Namespace - 正在访问对象的命名空间(仅针对命名空间的请求资源)
- API group - 正在访问的API组(仅用于请求资源)。空字符串指定核心API组。
什么是serviceaccount
- Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同
- .User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;
- .User account是跨namespace的,而service account则是仅局限它所在的namespace;
- .每个namespace都会自动创建一个default service account
- .Token controller检测service account的创建,并为它们创建secret
- .开启ServiceAccount Admission Controller后
- .每个Pod在创建后都会自动设置spec.serviceAccount为default(除非指定了其他ServiceAccout)
- .验证Pod引用的service account已经存在,否则拒绝创建
- .如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
- .每个container启动后都会挂载该service account的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/
验证:
- [root@k8s-master01 ~]# kubectl create namespace qiangungun #创建一个名称空间
- namespace "qiangungun" created
- [root@k8s-master01 ~]# kubectl get sa -n qiangungun #名称空间创建完成后会自动创建一个sa
- NAME SECRETS AGE
- default 11s
- [root@k8s-master01 ~]# kubectl get secret -n qiangungun #同时也会自动创建一个secret
- NAME TYPE DATA AGE
- default-token-5jtz2 kubernetes.io/service-account-token 19s
在创建的名称空间中新建一个pod
- [root@k8s-master01 pod-example]# cat pod_demo.yaml
- kind: Pod
- apiVersion: v1
- metadata:
- name: task-pv-pod
- namespace: qiangungun
- spec:
- containers:
- - name: nginx
- image: ikubernetes/myapp:v1
- ports:
- - containerPort:
- name: www
查看pod信息
- [root@k8s-master01 pod-example]# kubectl apply -f pod_demo.yaml
- pod "task-pv-pod" created
- [root@k8s-master01 pod-example]# kubectl get pod -n qiangungun
- NAME READY STATUS RESTARTS AGE
- task-pv-pod / Running 13s
- [root@k8s-master01 pod-example]# kubectl get pod task-pv-pod -o yaml -n qiangungun
- ......
- volumeMounts:
- - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
- name: default-token-5jtz2
- ......
- volumes: #挂载sa的secret
- - name: default-token-5jtz2
- secret:
- defaultMode:
- secretName: default-token-5jtz2
- ......
#名称空间新建的pod如果不指定sa,会自动挂载当前名称空间中默认的sa(default)
第二章、创建serviceaccount(以下简称sa)
- [root@k8s-master01 ~]# kubectl create serviceaccount admin #创建一个sa 名称为admin
- serviceaccount "admin" created
- [root@k8s-master01 ~]# kubectl get sa
- NAME SECRETS AGE
- admin 6s
- default 28d
- [root@k8s-master01 ~]# kubectl describe sa admin #查看名称为admin的sa的信息,系统会自动创建一个token信息
- Name: admin
- Namespace: default
- Labels: <none>
- Annotations: <none>
- Image pull secrets: <none>
- Mountable secrets: admin-token-rxtrc
- Tokens: admin-token-rxtrc
- Events: <none>
- [root@k8s-master01 ~]# kubectl get secret #会自动创建一个secret(admin-token-rxtrc),用于当前sa连接至当前API server时使用的认证信息
- NAME TYPE DATA AGE
- admin-token-rxtrc kubernetes.io/service-account-token 1m
- default-token-tcwjz kubernetes.io/service-account-token 28d
- myapp-ingress-secret kubernetes.io/tls 6h
- mysql-passwd Opaque 17d
- tomcat-ingress-secret kubernetes.io/tls 7h
创建一个pod应用刚刚创建的sa
- [root@k8s-master01 service_account]# cat deploy-demon.yaml
- apiVersion: v1
- kind: Pod
- metadata:
- name: sa-demo
- labels:
- app: myapp
- release: canary
- spec:
- containers:
- - name: myapp
- image: ikubernetes/myapp:v2
- ports:
- - name: httpd
- containerPort:
- serviceAccountName: admin #此处指令为指定sa的名称
- [root@k8s-master01 service_account]# kubectl apply -f deploy-demon.yaml
- pod "sa-demo" created
- [root@k8s-master01 service_account]# kubectl describe pod sa-demo
- ......
- Mounts:
- /var/run/secrets/kubernetes.io/serviceaccount from admin-token-rxtrc (ro) #pod会自动挂载自己sa的证书
- ......
Volumes:
admin-token-rxtrc:
Type: Secret (a volume populated by a Secret)
SecretName: admin-token-rxtrc
......
集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式,下面我使用kubeconfing来进行认证
使用kubeconfig文件来组织关于集群,用户,名称空间和身份验证机制的信息。使用 kubectl命令行工具对kubeconfig文件来查找选择群集并与群集的API服务器进行通信所需的信息。
默认情况下 kubectl使用的配置文件名称是在$HOME/.kube目录下 config文件,可以通过设置环境变量KUBECONFIG或者--kubeconfig指定其他的配置文件
查看系统的kubeconfig
- [root@k8s-master01 ~]# kubectl config view
- apiVersion: v1
- clusters: #集群列表
- - cluster:
- certificate-authority-data: REDACTED #认证集群的方式
- server: https://172.16.150.212:6443 #访问服务的APIserver的路径
- name: kubernetes #集群的名称
- contexts: #上下文列表
- - context:
- cluster: kubernetes #访问kubernetes这个集群
- user: kubernetes-admin #使用 kubernetes-admin账号
- name: kubernetes-admin@kubernetes #给定一个名称
- current-context: kubernetes-admin@kubernetes #当前上下文,表示使用哪个账号访问哪个集群
- kind: Config
- preferences: {}
- users: #用户列表
- - name: kubernetes-admin #用户名称
- user:
- client-certificate-data: REDACTED #客户端证书,用于与apiserver进行认证
- client-key-data: REDACTED #客户端私钥
- [root@k8s-master01 ~]# kubectl get svc
- NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
- kubernetes ClusterIP 10.96.0.1 <none> /TCP 29d
- my-nginx NodePort 10.104.13.148 <none> :/TCP 18h
- myapp ClusterIP 10.102.229.150 <none> /TCP 19h
- tomcat ClusterIP 10.106.222.72 <none> /TCP,/TCP 19h
- [root@k8s-master01 ~]# kubectl describe svc kubernetes
- Name: kubernetes
- Namespace: default
- Labels: component=apiserver
- provider=kubernetes
- Annotations: <none>
- Selector: <none>
- Type: ClusterIP
- IP: 10.96.0.1
- Port: https /TCP
- TargetPort: /TCP
- Endpoints: 172.16.150.212:6443 #可以看到此处svc后端的Endpoint是当前节点的IP地址,通过svc的IP地址进行映射,以确保cluster中的pod可以通过该sa与集群内api进行通讯,仅仅是身份认证
- Session Affinity: ClientIP
- Events: <none>
查看kubeconfig命令行配置帮助
- [root@k8s-master01 ~]# kubectl config --help
- Modify kubeconfig files using subcommands like "kubectl config set current-context my-context"
- The loading order follows these rules:
- . If the --kubeconfig flag is set, then only that file is loaded. The flag may only be set once
- and no merging takes place.
- . If $KUBECONFIG environment variable is set, then it is used a list of paths (normal path
- delimitting rules for your system). These paths are merged. When a value is modified, it is
- modified in the file that defines the stanza. When a value is created, it is created in the first
- file that exists. If no files in the chain exist, then it creates the last file in the list.
- . Otherwise, ${HOME}/.kube/config is used and no merging takes place.
- Available Commands:
- current-context 显示 current_context
- delete-cluster 删除 kubeconfig 文件中指定的集群
- delete-context 删除 kubeconfig 文件中指定的 context
- get-clusters 显示 kubeconfig 文件中定义的集群
- get-contexts 描述一个或多个 contexts
- rename-context Renames a context from the kubeconfig file.
- set 设置 kubeconfig 文件中的一个单个值
- set-cluster 设置 kubeconfig 文件中的一个集群条目
- set-context 设置 kubeconfig 文件中的一个 context 条目
- set-credentials 设置 kubeconfig 文件中的一个用户条目
- unset 取消设置 kubeconfig 文件中的一个单个值
- use-context 设置 kubeconfig 文件中的当前上下文
- view 显示合并的 kubeconfig 配置或一个指定的 kubeconfig 文件
- Usage:
- kubectl config SUBCOMMAND [options]
- Use "kubectl <command> --help" for more information about a given command.
- Use "kubectl options" for a list of global command-line options (applies to all commands).
第三章、创建一个cluster用户及context
使用当前系统的ca证书认证一个私有证书
- [root@k8s-master01 ~]# cd /etc/kubernetes/pki/
- [root@k8s-master01 pki]# (umask ;openssl genrsa -out qiangungun.key )
- Generating RSA private key, bit long modulus
- .........................+++
- ..........................................................+++
- e is (0x10001)
- [root@k8s-master01 pki]# openssl req -new -key qiangungun.key -out qiangungun.csr -subj "/CN=qiangungun" #qiangungun是后面我们创建的用户名称,需要保持一致
- [root@k8s-master01 pki]# openssl x509 -req -in qiangungun.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out qiangungun.crt -days
- Signature ok
- subject=/CN=qiangungun
- Getting CA Private Key
查看证书内容
- [root@k8s-master01 pki]# openssl x509 -in qiangungun.crt -text -noout
- Certificate:
- Data:
- Version: (0x0)
- Serial Number:
- b6::cb:::e3:fe:
- Signature Algorithm: sha256WithRSAEncryption
- Issuer: CN=kubernetes #由谁签署的
- Validity #证书的有效时间
- Not Before: Nov :: GMT
- Not After : Nov :: GMT
- Subject: CN=qiangungun #证书使用的用户
- Subject Public Key Info:
- Public Key Algorithm: rsaEncryption
- Public-Key: (
- ......
创建一个当前集群用户
- [root@k8s-master01 pki]# kubectl config set-credentials qiangungun --client-certificate=./qiangungun.crt --client-key=./qiangungun.key --embed-certs=true #--embed-certs表示是否隐藏证书路径及名称,默认不隐藏
- User "qiangungun" set.
- [root@k8s-master01 pki]# kubectl config view
- apiVersion: v1
- clusters:
- - cluster:
- certificate-authority-data: REDACTED
- server: https://172.16.150.212:6443
- name: kubernetes
- contexts:
- - context:
- cluster: kubernetes
- user: kubernetes-admin
- name: kubernetes-admin@kubernetes
- current-context: kubernetes-admin@kubernetes
- kind: Config
- preferences: {}
- users:
- - name: kubernetes-admin
- user:
- client-certificate-data: REDACTED
- client-key-data: REDACTED
- name: qiangungun #我们新建的用户- user:
- client-certificate-data: REDACTED
- client-key-data: REDACTED
为qiangungun用户创建一个context
- [root@k8s-master01 pki]# kubectl config set-context qiangungun@kubernetes --cluster=kubernetes --user=qiangungun
- Context "qiangungun@kubernetes" created.
- [root@k8s-master01 pki]# kubectl config view
- apiVersion: v1
- clusters:
- - cluster:
- certificate-authority-data: REDACTED
- server: https://172.16.150.212:6443
- name: kubernetes
- contexts:
- - context:
- cluster: kubernetes
- user: kubernetes-admin
- name: kubernetes-admin@kubernetes
- - context: #新创建的context
- cluster: kubernetes
- user: qiangungun
- name: qiangungun@kubernetes
- current-context: kubernetes-admin@kubernetes
- kind: Config
- preferences: {}
- users:
- - name: kubernetes-admin
- user:
- client-certificate-data: REDACTED
- client-key-data: REDACTED- name: qiangungun
- user:
- client-certificate-data: REDACTED
- client-key-data: REDACTED
切换serviceaccount
- [root@k8s-master01 pki]# kubectl config use-context qiangungun@kubernetes
- Switched to context "qiangungun@kubernetes".
- [root@k8s-master01 pki]# kubectl get pod
- Error from server (Forbidden): pods is forbidden: User "qiangungun" cannot list pods in the namespace "default"
自定义一个cluster
- [root@k8s-master01 pki]# kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://172.16.150.212:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
- Cluster "mycluster" set.
- [root@k8s-master01 pki]# kubectl config view --kubeconfig=/tmp/test.conf
- apiVersion: v1
- clusters:
- - cluster:
- certificate-authority-data: REDACTED
- server: https://172.16.150.212:6443
- name: mycluster
- contexts: []
- current-context: ""
- kind: Config
- preferences: {}
- users: []
k8s学习笔记之九: Service Account的更多相关文章
- Docker 与 K8S学习笔记(九)—— 容器间通信
容器之间可通过IP.Docker DNS Server或joined三种方式进行通信,今天我们来详细学习一下. 一.IP通信 IP通信很简单,前一篇中已经有所涉及了,只要容器使用相同网络,那么就可以使 ...
- 【K8s学习笔记】K8s是如何部署应用的?
本文内容 本文致力于介绍K8s一些基础概念与串联部署应用的主体流程,使用Minikube实操 基础架构概念回顾 温故而知新,上一节[K8S学习笔记]初识K8S 及架构组件 我们学习了K8s的发展历史. ...
- 简单的玩玩etimer <contiki学习笔记之九 补充>
这幅图片是对前面 <<contiki学习笔记之九>> 的一个补充说明. 简单的玩玩etimer <contiki学习笔记之九> 或许,自己正在掀开contiki ...
- VSTO学习笔记(九)浅谈Excel内容比较
原文:VSTO学习笔记(九)浅谈Excel内容比较 说起文件内容比较,或许我们首先想到的是UltraCompare这类专业比较的软件,其功能非常强大,能够对基于文本的文件内容作出快速.准确的比较,有详 ...
- Python学习笔记(九)
Python学习笔记(九): 装饰器(函数) 内置函数 1. 装饰器 1. 作用域 2. 高阶函数 3. 闭包 如果在一个内部函数里,对在外部作用域(但不是在全局作用域)的变量进行引用,那么内部函数就 ...
- python3.4学习笔记(十九) 同一台机器同时安装 python2.7 和 python3.4的解决方法
python3.4学习笔记(十九) 同一台机器同时安装 python2.7 和 python3.4的解决方法 同一台机器同时安装 python2.7 和 python3.4不会冲突.安装在不同目录,然 ...
- 汇编入门学习笔记 (九)—— call和ret
疯狂的暑假学习之 汇编入门学习笔记 (九)-- call和ret 參考: <汇编语言> 王爽 第10章 call和ret都是转移指令. 1. ret和retf ret指令:用栈中的数据 ...
- Directx11学习笔记【九】 3D渲染管线
原文:Directx11学习笔记[九] 3D渲染管线 原文地址:http://blog.csdn.net/bonchoix/article/details/8298116 3D图形学研究的基本内容,即 ...
- EF学习笔记(九):异步处理和存储过程
总目录:ASP.NET MVC5 及 EF6 学习笔记 - (目录整理) 上一篇:EF学习笔记(八):更新关联数据 本篇原文:Async and Stored Procedures 为何要采用异步? ...
随机推荐
- zabbix3.4.7常用监控项
Zabbix中内置了很多监控参数(Key_),可以获取监控对象中的系统.CPU.网络.内存.文件系统等信息.下面就详细介绍一下这些监控参数的意义. 1. 测试获取监控参数内容的方法 在Zabbix S ...
- 深入理解vue-router之keep-alive
keep-alive 简介 keep-alive 是 Vue 内置的一个组件,可以使被包含的组件保留状态,或避免重新渲染. 用法也很简单: ? 1 2 3 4 5 <keep-alive> ...
- unity中 UGUI的按下、拖动接口事件的实现
using UnityEngine; using System.Collections.Generic; using DG.Tweening; using UnityEngine.EventSyste ...
- 指导手册04:运行MapReduce
指导手册04:运行MapReduce Part 1:运行单个MapReduce任务 情景描述: 本次任务要求对HDFS目录中的数据文件/user/root/email_log.txt进行计算处理, ...
- ubuntu 安装 nvm 管理Node.js 以及vim 插件增强
安装curl -o- https://raw.githubusercontent.com/creationix/nvm/v0.33.2/install.sh | bashsource ~/.bashr ...
- latex中使用listings显示代码
\documentclass[12pt,a4paper]{article}\usepackage{ctex}\usepackage{listings}\usepackage{xcolor}\begin ...
- 13--Python入门--文件读写--CSV&Excel文件
EXCEL文件 import pandas as pd excel=pd.read_excel('read_excel.xlsx') print(excel) CSV文件 import pandas ...
- L2-023. 图着色问题*
L2-023. 图着色问题 参考博客 #include <iostream> #include <cstring> #include <set> using nam ...
- ASP.NET之使用Ajax实现页面异步刷新(无需刷新整个页面)
目前在使用ASP.NET技术做毕业设计,但是关于网页中的各种配置我到现在还不是很清楚,正在努力进化... 一般情况下,新建网页页面的话,应该为.aspx后缀的文件,建好之后对应一个同名的.cs文件,属 ...
- Erlang-接口技术
系统的构建一定会设计到简历接口,让他与不同的语言的应用程序之间简历系统的联系.这就叫做erlang的接口技术. 接口技术的三种实现方法: 1.让程序以外部操作系统进行的形式在Erlang虚拟机以外运行 ...