Kubelet v1.25.x源码——TokenManager

于 2022-12-15 09:12:23 发布
阅读量438 收藏 1
点赞数
分类专栏: # Kubelet 文章标签: kubelet k8s TokenManager ServiceAccount 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IOT_AI/article/details/128324739
版权

1. 环境说明

Kubernetes源码版本:remotes/origin/release-1.25
Kubernetes编译出来的Kubelet版本:Kubernetes v1.24.0-beta.0.2463+ee7799bab469d7
Kubernetes集群实验环境:使用Kubernetes v1.25.4二进制的方式搭建了一个单节点集群

K8S 单节点单节点搭建可以参考:Kubernetes v1.25 搭建单节点集群用于Debug K8S源码

Golang版本:go1.19.3 linux/amd64
IDEA版本:2022.2.3
Delve版本:1.9.1

[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# dlv version
Delve Debugger
Version: 1.9.1
Build: $Id: d81b9fd12bfa603f3cf7a4bc842398bd61c42940 $
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# go version
go version go1.19.3 linux/amd64
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl version
WARNING: This version information is deprecated and will be replaced with the output from kubectl version --short.  Use --output=yaml|json to get the full version.
Client Version: version.Info{Major:"1", Minor:"25", GitVersion:"v1.25.4", GitCommit:"872a965c6c6526caa949f0c6ac028ef7aff3fb78", GitTreeState:"clean", BuildDate:"2022-11-09T13:36:36Z", GoVersion:"go1.19.3", Compiler:"gc", Platform:"linux/amd64"}
Kustomize Version: v4.5.7
Server Version: version.Info{Major:"1", Minor:"25", GitVersion:"v1.25.4", GitCommit:"872a965c6c6526caa949f0c6ac028ef7aff3fb78", GitTreeState:"clean", BuildDate:"2022-11-09T13:29:58Z", GoVersion:"go1.19.3", Compiler:"gc", Platform:"linux/amd64"}
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl get nodes -owide
NAME          STATUS   ROLES    AGE   VERSION   INTERNAL-IP     EXTERNAL-IP   OS-IMAGE                KERNEL-VERSION                CONTAINER-RUNTIME
k8s-master1   Ready    <none>   31h   v1.25.4   192.168.11.71   <none>        CentOS Linux 7 (Core)   3.10.0-1160.80.1.el7.x86_64   containerd://1.6.10
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl get componentstatus
Warning: v1 ComponentStatus is deprecated in v1.19+
NAME                 STATUS    MESSAGE                         ERROR
etcd-0               Healthy   {"health":"true","reason":""}
controller-manager   Healthy   ok
scheduler            Healthy   ok
[root@k8s-master1 kubernetes]#

Kubelet启动参数配置如下:

[root@k8s-master1 kubernetes]# ps -ef|grep "/usr/local/bin/kubelet"
root       7972      1  6 07:06 ?        00:00:06 /usr/local/bin/kubelet --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig --kubeconfig=/etc/kubernetes/kubelet.kubeconfig --config=/etc/kubernetes/kubelet-conf.yml --container-runtime-endpoint=unix:///run/containerd/containerd.sock --node-labels=node.kubernetes.io/node= --v=8
root       9549   6424  0 07:07 pts/0    00:00:00 grep --color=auto /usr/local/bin/kubelet
[root@k8s-master1 kubernetes]#

Kubelet参数配置如下:

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
address: 0.0.0.0
port: 10250
readOnlyPort: 10255
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 2m0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.pem
authorization:
  mode: Webhook
  webhook:
    cacheAuthorizedTTL: 5m0s
    cacheUnauthorizedTTL: 30s
cgroupDriver: systemd
cgroupsPerQOS: true
clusterDNS:
- 10.96.0.10
clusterDomain: cluster.local
containerLogMaxFiles: 5
containerLogMaxSize: 10Mi
contentType: application/vnd.kubernetes.protobuf
cpuCFSQuota: true
cpuManagerPolicy: none
cpuManagerReconcilePeriod: 10s
enableControllerAttachDetach: true
enableDebuggingHandlers: true
enforceNodeAllocatable:
- pods
eventBurst: 10
eventRecordQPS: 5
evictionHard:
  imagefs.available: 15%
  memory.available: 100Mi
  nodefs.available: 10%
  nodefs.inodesFree: 5%
evictionPressureTransitionPeriod: 5m0s
failSwapOn: true
fileCheckFrequency: 20s
hairpinMode: promiscuous-bridge
healthzBindAddress: 127.0.0.1
healthzPort: 10248
httpCheckFrequency: 20s
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
imageMinimumGCAge: 2m0s
iptablesDropBit: 15
iptablesMasqueradeBit: 14
kubeAPIBurst: 10
kubeAPIQPS: 5
makeIPTablesUtilChains: true
maxOpenFiles: 1000000
maxPods: 110
nodeStatusUpdateFrequency: 10s
oomScoreAdj: -999
podPidsLimit: -1
registryBurst: 10
registryPullQPS: 5
resolvConf: /etc/resolv.conf
rotateCertificates: true
runtimeRequestTimeout: 2m0s
serializeImagePulls: true
staticPodPath: /etc/kubernetes/manifests
streamingConnectionIdleTimeout: 4h0m0s
syncFrequency: 1m0s
volumeStatsAggPeriod: 1m0s

2. 组件概览

TokenManager的主要职责:用于管理运行在当前Node节点上所有PodServiceAccount Token

3. 源码剖析

Manager

TokenManager的源码比较简单,我们先来看看TokenManager是如何定义的,如下:


type Manager struct {
	cacheMutex sync.RWMutex
	cache      map[string]*authenticationv1.TokenRequest
	getToken func(name, namespace string, tr *authenticationv1.TokenRequest) (*authenticationv1.TokenRequest, error)
	clock    clock.Clock
}

实际上,TokenManager内部就是一个缓存。KeyServiceTokenname以及namespace加上其余参数构成,ValueTokenRequest对象,在TokenRequest对象中的Status.Token就是我们需要的Token

3.1. NewToken

NewToken

NewTokenManager的时候,里面做了初始化getToken方法,具体逻辑我们看看代码,如下:

// pkg/kubelet/token/token_manager.go

func NewManager(c clientset.Interface) *Manager {
	supported := false
	once := &sync.Once{}
	// 判断当前apiserver是否开启了TokenRequest
	tokenRequestsSupported := func() bool {
		once.Do(func() {
			resources, err := c.Discovery().ServerResourcesForGroupVersion("v1")
			if err != nil {
				return
			}
			for _, resource := range resources.APIResources {
				if resource.Name == "serviceaccounts/token" {
					supported = true
					return
				}
			}
		})
		return supported
	}

	m := &Manager{
	    // getToken实现比较简单,就是调用apiserver的接口创建一个Token
		getToken: func(name, namespace string, tr *authenticationv1.TokenRequest) (*authenticationv1.TokenRequest, error) {
			if c == nil {
				return nil, errors.New("cannot use TokenManager when kubelet is in standalone mode")
			}
			tokenRequest, err := c.CoreV1().ServiceAccounts(namespace).CreateToken(context.TODO(), name, tr, metav1.CreateOptions{})
			if apierrors.IsNotFound(err) && !tokenRequestsSupported() {
				return nil, fmt.Errorf("the API server does not have TokenRequest endpoints enabled")
			}
			return tokenRequest, err
		},
		cache: make(map[string]*authenticationv1.TokenRequest),
		clock: clock.RealClock{},
	}

    // 开启一个,删除过期的Token
	go wait.Forever(m.cleanup, gcPeriod)
	return m
}

func (m *Manager) cleanup() {
	m.cacheMutex.Lock()
	defer m.cacheMutex.Unlock()
	// 拿出所有的key,判断当前Key是否已经过期
	for k, tr := range m.cache {
		if m.expired(tr) {
			delete(m.cache, k)
		}
	}
}

3.2. GetServiceAccountToken

GetServiceAccountToken

GetServiceAccountToken逻辑如下:

  • 1、从缓存中拿出当前当前请求的Token
  • 2、如果缓存中拿到了当前请求的Token,并且该Token还没有过期,那么直接把该Token直接返回
  • 3、否则通过apiserver的接口刷新token
// pkg/kubelet/token/token_manager.go

func (m *Manager) GetServiceAccountToken(namespace, name string, tr *authenticationv1.TokenRequest) (*authenticationv1.TokenRequest, error) {
    // 计算TokenRquest对象计算key
	key := keyFunc(name, namespace, tr)

    // 从缓存中获取key
	ctr, ok := m.get(key)

    // 如果缓存中取到了token,并且没有过期的话,就直接返回该token
	if ok && !m.requiresRefresh(ctr) {
		return ctr, nil
	}

    // 通过apiserver生成新的token
	tr, err := m.getToken(name, namespace, tr)
	if err != nil {
		switch {
		case !ok:
			return nil, fmt.Errorf("failed to fetch token: %v", err)
		case m.expired(ctr):
			return nil, fmt.Errorf("token %s expired and refresh failed: %v", key, err)
		default:
			klog.ErrorS(err, "Couldn't update token", "cacheKey", key)
			return ctr, nil
		}
	}

    // 刷新缓存
	m.set(key, tr)
	return tr, nil
}

func keyFunc(name, namespace string, tr *authenticationv1.TokenRequest) string {
	var exp int64
	if tr.Spec.ExpirationSeconds != nil {
		exp = *tr.Spec.ExpirationSeconds
	}

	var ref authenticationv1.BoundObjectReference
	if tr.Spec.BoundObjectRef != nil {
		ref = *tr.Spec.BoundObjectRef
	}

	return fmt.Sprintf("%q/%q/%#v/%#v/%#v", name, namespace, tr.Spec.Audiences, exp, ref)
}

func (m *Manager) get(key string) (*authenticationv1.TokenRequest, bool) {
	m.cacheMutex.RLock()
	defer m.cacheMutex.RUnlock()
	ctr, ok := m.cache[key]
	return ctr, ok
}

func (m *Manager) set(key string, tr *authenticationv1.TokenRequest) {
	m.cacheMutex.Lock()
	defer m.cacheMutex.Unlock()
	m.cache[key] = tr
}

func (m *Manager) expired(t *authenticationv1.TokenRequest) bool {
	return m.clock.Now().After(t.Status.ExpirationTimestamp.Time)
}

// 如果比80%的ttl值都旧,并且token已经超过了24小时
func (m *Manager) requiresRefresh(tr *authenticationv1.TokenRequest) bool {
	if tr.Spec.ExpirationSeconds == nil {
		cpy := tr.DeepCopy()
		cpy.Status.Token = ""
		klog.ErrorS(nil, "Expiration seconds was nil for token request", "tokenRequest", cpy)
		return false
	}
	now := m.clock.Now()
	exp := tr.Status.ExpirationTimestamp.Time
	iat := exp.Add(-1 * time.Duration(*tr.Spec.ExpirationSeconds) * time.Second)

	jitter := time.Duration(rand.Float64()*maxJitter.Seconds()) * time.Second
	if now.After(iat.Add(maxTTL - jitter)) {
		return true
	}
	// Require a refresh if within 20% of the TTL plus a jitter from the expiration time.
	if now.After(exp.Add(-1*time.Duration((*tr.Spec.ExpirationSeconds*20)/100)*time.Second - jitter)) {
		return true
	}
	return false
}

func keyFunc(name, namespace string, tr *authenticationv1.TokenRequest) string {
	var exp int64
	if tr.Spec.ExpirationSeconds != nil {
		exp = *tr.Spec.ExpirationSeconds
	}

	var ref authenticationv1.BoundObjectReference
	if tr.Spec.BoundObjectRef != nil {
		ref = *tr.Spec.BoundObjectRef
	}

	return fmt.Sprintf("%q/%q/%#v/%#v/%#v", name, namespace, tr.Spec.Audiences, exp, ref)
}

3.3. DeleteServiceAccountToken

DeleteServiceAccountToken

DeleteServiceAccountToken的逻辑很简单,就是删除对应PodToken

func (m *Manager) DeleteServiceAccountToken(podUID types.UID) {
	m.cacheMutex.Lock()
	defer m.cacheMutex.Unlock()
	for k, tr := range m.cache {
		if tr.Spec.BoundObjectRef.UID == podUID {
			delete(m.cache, k)
		}
	}
}

4. Reference

GousterCloud
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes v1.25.7 离线资源安装包
09-24
Kubernetes v1.25.0 离线资源安装包 Kubernetes镜像及kubeadm、kubeletkubectl ...yum -y install kubelet-1.25.7-0.x86_64.rpm yum -y install kubectl-1.25.7-0.x86_64.rpm 如有问题可以直接私信我给你解决。
scrcpy-win64-v1.25.rar 安卓投屏电脑神器
04-03
scrcpy[1] 是一款开源的安卓设备投屏工具,通过 USB 或 Wi-Fi 与设备连接后就可以在 PC 端操作安卓设备,无需 root 权限且支持多平台运行 Windows 的安装包里已经集成了 adb 工具,接下来就可以连接设备了。...
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4032
前后端分离架构 -- SpringSecurity用法+自定义token校验
javacc xxxTokenManager类作用 以及重要方法解析
zyb243380456的专栏
02-08 3837
/* Generated By:JavaCC: Do not edit this line. QueryParserTokenManager.java */ import java.io.StringReader; /** *@ summary xxxTokenManager重要方法介绍 *@ xxxTokenManager类根据词法状态和截取字符窜并生成不同类型的token对象 * 提
k8skubelet接口的认证和授权
weixin_47729423的博客
08-11 1432
访问kubelet接口的认证和授权
Istio 最新版1.7.6版本安装及问题
huange7的博客
12-25 2613
这里写自定义目录标题一、环境准备二、安装步骤三、结果查看四、安装结果 本文采用k8s进行安装,其他安装方式请查看官网 一、环境准备 github下载安装包 下载地址:istio安装地址 二、安装步骤 解压缩 tar -zxf istio-1.7.6-linux.amd64.tar.gz 配置istioctl环境 export PATH=$PWD/bin:$PATH 或者将istioctl移动到/usr/local/bin 如:mv bin/istioctl /usr/local/bin
RESTful登录设计(基于Spring及Redis的Token鉴权)
热门推荐
AndyLizh的专栏
06-08 7万+
什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状
docker-compose-Linux-v1.25.5.rar
06-02
下载后解压rar,将内部的docker-compose-Linux-x86_64上传到服务器指定目录。 重命名:mv docker-compose-Linux-x86_64 docker-compose 授予可执行权限:chmod +x docker-...查看版本,验证安装成功:docker-compose -v
ISQUARTET_V1.25.02_XPVISTAWIN7(20120115).zip
07-07
玛雅四重奏声卡驱动ISQUARTET_V1.25.02_XPVISTAWIN7(20120115).zip是一款专为玛雅四重奏声卡设计的驱动程序更新包,发布于2012年1月15日。这个压缩文件包含了适用于Windows XP、Vista和Windows 7操作系统的驱动程序...
openresty-1.25.3.1源码
最新发布
02-07
《OpenResty 1.25.3.1 源码详解》 OpenResty 是一个基于 Nginx 的高性能、全功能的 Web 应用服务器和开发平台,它集成了 LuaJIT 脚本语言,允许开发者在 Nginx 的配置文件中直接编写 Lua 脚本来实现复杂的业务逻辑...
oauth-client-tokenmanager:用于在客户端授权请求和管理令牌的库
02-21
oauth-client-tokenmanager 描述 用于使用令牌针对OAuth服务器授权请求和管理令牌的库。 图书馆: 是完全线程安全的 支持以下请求: HttpClient,WebClient,HttpWebRequest 有能力服务更多的客户 用.NET Standard 2.1编写 使用例 在使用* Manager *之前,您必须通过调用以下命令对其进行初始化: // Get instance of the token manager var tokenManager = Manager.GetInstance; // Create a list of settings var settings = new List<ClientSetting>(); settings.Add(setting); settings.Add(
JavaCC的TokenManager和Parser
weixin_30908649的博客
04-11 168
TokenManager不会感知Parser的存在,这意味着TokenManager会尽量匹配足够长的终结符,而不是依据Parser的语法规则。 当被解析的文本为" @@ "时,TokenManager并不会根据Parser的需要返回两个<A>,而是直接将 @@ 认作<B>并传送给Parser,Parser会报错。 TOKEN: {   < A : "@"...
基于Token登入
ttdwml的博客
01-07 1万+
REST即表述性状态传递(英文:Representational State Transfer,简称REST)是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。它是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性。 1.基于Session登录验证(有会话状态) 用户发出登录请求,带着用户名和密码到服务器验证,服务器验证成功就将用户信息写
关于Kubernetes中API Server使用tokenkubeconfig文件认证的一些笔记
山河已无恙
01-26 3989
只有能做到“尽人事而听天命”,一个人才能永远保持心情的平衡。 ----- 《季羡林谈人生》
CentOS7.6安装Kubernetes v1.15.1(我们一起踩过的坑)
chendoukuang7121的博客
07-31 8914
官方原文:https://www.kubernetes.org.cn/5551.htmlkubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具,伴随Kubernetes每个版本的发布都会同步更新,kubeadm会对集群配置方面的一些实践做调整,通过实验kubeadm可以学习到Kubernetes官方在集群配置上一些新的最佳实践。最近发布的K...
k8s 认证 token 生成
weixin_30307921的博客
05-18 2946
接着上面的博客写   pwd   /etc/kubernetes   echo "`head -c 16 /dev/urandom | od -An -t x | tr -d ' '`,kubelet-bootstrap,10001,\"system:kubelet-bootstrap\"" > token.csv   cat token.csv 也可以使用上面的命令在工作中生成随...
华为 IP源防攻击和MAC认证
艺博东的博客
12-07 1万+
文章目录 一、拓扑 二、IPSG 三、MAC认证
Kubelet bootstrap 流程
weixin_34214500的博客
11-15 1635
首先,什么是kubelet bootstrap?在安装 k8s worker node 时,基本上 worker 的初始状态仅仅是安装了 docker 和 kubelet,worker 需要一种机制跟 master 通信。但网络通信的基本假设是通信双方谁也不信任谁。所以,kubelet bootstrap要以自动化的方式解决如下几个问题: 在只知道 api server IP 地址的情况下,...
K8S证书过期(kubelet证书轮换失败)
qq_43544123的博客
08-13 707
记一次k8s集群证书过期问题
centos7安装k8s1.25.4
08-06
要在CentOS 7上安装Kubernetes 1.25.4,可以按照以下步骤进行操作: 1. 更新系统和软件包:使用以下命令更新系统和安装必要的软件包。 ``` sudo yum update sudo yum install -y curl ``` 2. 安装Docker:Kubernetes需要Docker作为容器运行时。使用以下命令安装Docker。 ``` sudo yum install -y docker sudo systemctl enable docker sudo systemctl start docker ``` 3. 添加Kubernetes存储库:访问Kubernetes存储库以获取1.25.4版本的软件包。 ``` cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64 enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg EOF ``` 4. 安装Kubernetes组件:使用以下命令安装Kubernetes组件。 ``` sudo yum install -y kubelet-1.25.4 kubeadm-1.25.4 kubectl-1.25.4 sudo systemctl enable kubelet sudo systemctl start kubelet ``` 5. 初始化Kubernetes主节点:在主节点上执行以下命令初始化集群。 ``` sudo kubeadm init ``` 6. 配置kubectl:在主节点上按照kubeadm init命令的输出提示,设置当前用户的kubectl配置文件。 ``` mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 7. 加入工作节点:如果要将其他节点添加到集群中,可以在工作节点上执行kubeadm join命令,将其加入到集群中。 这些步骤会在CentOS 7上安装Kubernetes 1.25.4版本,并设置好主节点和工作节点。请确保按照步骤正确执行,并在初始化和加入节点时遵循相应的命令和安全提示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值