中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Kubernetes身份認證和授權操作全攻略:訪問控制之Service Account

發布時間:2020-06-25 22:31:54 來源:網絡 閱讀:3863 作者:RancherLabs 欄目:云計算

這是本系列的最后一篇文章,前面我們了解了訪問控制中的基本概念以及身份認證和授權的具體操作,本文我們將進一步了解訪問控制中的service account。

 

Kubernetes中有用戶和service account的概念,可用于訪問資源。用戶與密鑰和證書相關聯用于驗證API請求,使用其中一個配置方案對在集群外部發起的任何請求進行身份驗證。最常見的方案是通過X.509證書進行身份認證請求。有關創建證書和將證書與用戶關聯的信息,請參閱Kubernetes身份驗證教程。

 

請記住,Kubernetes不維護數據庫或用戶和密碼的配置文件。相反,它希望在集群之外進行管理。通過身份驗證模塊的概念,Kubernetes可以將身份驗證委派給第三方,如OpenID或Active Directory。

 

盡管X.509證書可用于身份驗證的外部請求,但service account可以用于驗證集群中運行的進程。此外,service account與進行API server內部調用的pod相關聯。

 

每個Kubernetes安裝都有一個默認的service account,它與每個正在運行的pod相關聯。類似地,為了使pod能夠調用內部API Server端點,有一個名為Kubernetes的ClusterIP服務,它與默認的service account一起使內部進程可以調用API端點。
 

kubectl get serviceAccounts

 

NAME      SECRETS   AGE
default   1         122m

 

 kubectl get svc

 

NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.96.0.1            443/TCP   123m

 

請注意,這個service account指向嵌在每個pod內部的secret。這一secret包含API Server所需的令牌。
 

kubectl get secret

 

NAME                  TYPE                                  DATA   AGE
default-token-4rpmv   kubernetes.io/service-account-token   3      123m

 

當我們開始調度pod并且訪問它時,一切都變得明朗起來。我們將使用curl命令啟動一個基于BusyBox的pod。
 

kubectl run -i --tty --rm curl-tns --image=radial/busyboxplus:curl
kubectl run --generator=deployment/apps.v1 is DEPRECATED and will be removed in a future version. Use kubectl run --generator=run-pod/v1 or kubectl create instead.
If you don't see a command prompt, try pressing enter.
[ root@curl-tns-56c6d54585-6v2xp:/ ]$

 

當我們在BusyBox shell中時,讓我們嘗試訪問API Server端點。
 

[ root@curl-tns-56c6d54585-6v2xp:/ ]$ curl https://kubernetes:8443/api

 

由于請求缺少身份驗證令牌,因此不會產生任何結果。讓我們看看如何檢索可以嵌入HTTP頭部的令牌。

 

如之前所討論的,令牌作為一個secret安裝在pod里。查看/var/run/secrets/kubernetes.io/serviceaccount 來查找令牌。
 

[ root@curl-tns-56c6d54585-6v2xp:/ ]$ cd /var/run/secrets/kubernetes.io/serviceaccount

 

[ root@curl-tns-56c6d54585-6v2xp:/tmp/secrets/kubernetes.io/serviceaccount ]$ ls
ca.crt     namespace  token

 

讓我們來設置一些環境變量以簡化curl命令。
 

CA_CERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
NAMESPACE=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)

 

以下curl命令請求在默認命名空間中的服務。讓我們看看我們能否從API Server中獲得回應。
 

[ root@curl-tns-56c6d54585-6v2xp:~ ]$ curl --cacert $CA_CERT -H "Authorization: Bearer $TOKEN" "https://kubernetes/api/v1/namespaces/$NAMESPACE/services/"

 

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "services is forbidden: User \"system:serviceaccount:default:default\" cannot list resource \"services\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": {
    "kind": "services"
  },
  "code": 403
}

 

然而,默認的service account并沒有足夠的權限來檢索在同一命名空間內的服務。

 

請記住,Kubernetes遵循封閉開放的慣例,這意味著在默認情況下用戶和service account沒有任何權限。

 

為了滿足這一請求,我們需要創建一個角色綁定,將默認service account和適當的角色相關聯。這一步與我們將角色綁定到Bob的方式類似,后者授予他列出pod的權限。

 

退出pod并且運行以下命令,為默認service account創建一個角色綁定。
 

kubectl create rolebinding default-view \
  --clusterrole=view \
  --serviceaccount=default:default \
  --namespace=default

 

 rolebinding.rbac.authorization.k8s.io/default-view created

 

以上命令將默認service account與集群角色視圖相關聯,該角色視圖使pod能夠列出資源。

 

如果你十分好奇,想看所有可用的集群角色,運行命令:kubectl get clusterroles。

 

讓我們再次啟動BusyBox pod并且訪問API Server。
 

kubectl run -i --tty --rm curl-tns --image=radial/busyboxplus:curl

 

kubectl run --generator=deployment/apps.v1 is DEPRECATED and will be removed in a future version. Use kubectl run --generator=run-pod/v1 or kubectl create instead.
If you don't see a command prompt, try pressing enter.
[ root@curl-tns-56c6d54585-2cx44:/ ]$

 

CA_CERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
NAMESPACE=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)

 

curl --cacert $CA_CERT -H "Authorization: Bearer $TOKEN" "https://kubernetes/api/v1/namespaces/$NAMESPACE/services/"

 

{
  "kind": "ServiceList",
  "apiVersion": "v1",
  "metadata": {
    "selfLink": "/api/v1/namespaces/default/services/",
    "resourceVersion": "11076"
  },
  "items": [
    {
      "metadata": {
        "name": "kubernetes",
        "namespace": "default",
        "selfLink": "/api/v1/namespaces/default/services/kubernetes",
        "uid": "b715a117-6be1-4de0-8830-45bddcda701c",
        "resourceVersion": "151",
        "creationTimestamp": "2019-08-13T09:45:27Z",
        "labels": {
          "component": "apiserver",
          "provider": "kubernetes"
        }
      },
      "spec": {
        "ports": [
          {
            "name": "https",
            "protocol": "TCP",
            "port": 443,
            "targetPort": 8443
          }
        ],
        "clusterIP": "10.96.0.1",
        "type": "ClusterIP",
        "sessionAffinity": "None"
      },
      "status": {
        "loadBalancer": {

        }
      }
    }
  ]
}

 

您可以隨意為默認service account創建其他綁定,以檢查RBAC如何擴展到pod。

 

關于Kubernetes身份認證與授權系列文章到此結束,我們討論了身份驗證,授權和Service account的基本概念,希望能對你有所幫助。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

阿鲁科尔沁旗| 福州市| 新竹市| 开化县| 乌拉特前旗| 铁力市| 黔西| 肇庆市| 台州市| 安宁市| 萝北县| 大厂| 南皮县| 高要市| 汕尾市| 盐池县| 凤城市| 宣城市| 遂平县| 通山县| 米泉市| 旬阳县| 久治县| 吉木萨尔县| 南投县| 应城市| 平原县| 大港区| 留坝县| 舟山市| 甘泉县| 梅河口市| 池州市| 榆林市| 馆陶县| 简阳市| 旌德县| 通海县| 临江市| 若尔盖县| 成安县|