serviceaccount 方式部署

最新推荐文章于 2023-11-27 20:12:19 发布
最新推荐文章于 2023-11-27 20:12:19 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/102550556
版权

很好的文章:https://tonybai.com/2016/11/25/the-security-settings-for-kubernetes-cluster/

https://www.cnblogs.com/charlieroro/p/9791240.html

k8s 1.5.2 版本

 

Expected to load root CA config from /var/run/secrets/kubernetes.io/serviceaccount/ca.crt, but got err: open /var/run/secrets/kubernetes.io/serviceaccount/ca.crt: no such file or directory

产生这个错误是因为Kubernetes默认创建的secrets资源不包含用于访问kube-apiserver的根证书。

# kubectl get secrets --namespace=kube-system
NAME                  TYPE                                  DATA      AGE
default-token-wxzm7   kubernetes.io/service-account-token   2         19h

# kubectl describe secret default-token-wxzm7 --namespace=kube-system
Name:       default-token-wxzm7
Namespace:  kube-system
Labels:     <none>
Annotations:    kubernetes.io/service-account.name=default
        kubernetes.io/service-account.uid=80bc5d75-41e9-11e7-b90e-000c29f6f813

Type:   kubernetes.io/service-account-token

Data
====
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkZWZhdWx0LXRva2VuLXd4em03Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImRlZmF1bHQiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiI4MGJjNWQ3NS00MWU5LTExZTctYjkwZS0wMDBjMjlmNmY4MTMiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06ZGVmYXVsdCJ9.m1dIyZiU2vejuUrhjUb3mwykBkp_nrfTQ9kyz6kYQghcJT4iuGNqh3sPBpQ6F4QxCDu_PgKGWr5A7PA3mnvwfmwE8MbLktizf4khOR7gMxp_xwQw8izutdjQZJgtejxzSkBeW3Kh-Xr7YnUt6cpAdkITWJ65rTI5Fp4KmrK-AVMnKr0h3YIbmCTC2-rKJSJw_NUHLYjCELh8c5K2gnn1wTl6QXhgsojtx7cDZZrPBPF6pOX5xtZYN2YEOjjeHS01LA1jbmkaCJiaTT1umICVpGZ8PxRbuuzaUBAdJaxxsE05Jve67E9e6qFIYROsZMIgnoN5t5UBooypBuMkms_31g

 

生成证书和密钥

下面链接是具体生成ca 具体 步骤

https://blog.csdn.net/Michaelwubo/article/details/102583865

在此,使用easyrsa生产证书和密钥。

  • 下载easyrsa3 
    # curl -L -O https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
# tar xzf easy-rsa.tar.gz
# cd easy-rsa-master/easyrsa3
# ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /root/k8s/easy-rsa-master/easyrsa3/pki

     

  • 创建根证书 
    # ./easyrsa --batch "--req-cn=192.168.120.121@`date +%s`" build-ca nopass
Generating a 2048 bit RSA private key
.......+++
................................................................................+++
writing new private key to '/root/k8s/easy-rsa-master/easyrsa3/pki/private/ca.key'

     

  • 创建服务端证书和密钥
# ./easyrsa --subject-alt-name="IP:192.168.120.121" build-server-full server nopass
Generating a 2048 bit RSA private key
..............................+++
................................................+++
writing new private key to '/root/k8s/easy-rsa-master/easyrsa3/pki/private/server.key'
-----
Using configuration from /root/k8s/easy-rsa-master/easyrsa3/openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'server'
Certificate is to be certified until May 25 03:23:50 2027 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
  • 拷贝pki/ca.crtpki/issued/server.crtpki/private/server.key至指定的目录
# mkdir /etc/kubernetes/pki
# cp pki/ca.crt pki/issued/server.crt pki/private/server.key /etc/kubernetes/pki/
# chmod 644 /etc/kubernetes/pki/*

 

 

kubelet,kube-apiserver,kube-controller-manager参数整体介绍

https://www.kubernetes.org.cn/2540.html

 

 

配置kube-apiserver服务

KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"

KUBE_API_ARGS="--service-node-port-range=1-65535  --bind-address=0.0.0.0 --secure-port=6443 --advertise-address=0.0.0.0 --audit-log-path=/var/log/kubernetes/kubernetes.audit --audit-log-maxage=7 --audit-log-maxbackup=4 --audit-log-maxsize=10 --client-ca-file=/etc/kubernetes/pki/ca.crt --tls-cert-file=/etc/kubernetes/pki/server.crt --tls-private-key-file=/etc/kubernetes/pki/server.key  --service-account-key-file=/etc/kubernetes/pki/server.key --basic-auth-file=/etc/kubernetes/pki/basic_auth_file.csv"

参数https://my.oschina.net/u/3797264/blog/2250066详解介绍

 

配置kube-controller-manager服务

参照以下内容编辑/etc/kubernetes/controller-manager:

KUBE_CONTROLLER_MANAGER_ARGS="--service-account-private-key-file=/etc/kubernetes/pki/server.key --root-ca-file=/etc/kubernetes/pki/ca.crt"

 

--service-account-private-key-file:文件名,包含用于签署服务帐户令牌的pem编码的专用rsa或ecdsa密钥

--root-ca-file :根CA 证书文件路径,如果设置的话将被用于 Service Account 的 token secret 中

 

https://blog.csdn.net/zhonglinzhang/article/details/86062590详细介绍

 

删除旧secrets资源

# kubectl get secrets --all-namespaces
NAMESPACE     NAME                  TYPE                                  DATA      AGE
default       default-token-s1vfh   kubernetes.io/service-account-token   2         5m
kube-system   default-token-jct68   kubernetes.io/service-account-token   2         4m

# systemctl stop kube-controller-manager

# kubectl delete secret default-token-s1vfh
secret "default-token-s1vfh" deleted

# kubectl delete secret default-token-jct68 --namespace=kube-system
secret "default-token-jct68" deleted

重新启动kube-apiserver和kube-controller-manager服务

# systemctl restart kube-apiserver
# systemctl start  kube-controller-manager

检查新创建的secret是否包含根证书

# kubectl get secrets --all-namespaces
NAMESPACE     NAME                  TYPE                                  DATA      AGE
default       default-token-tv69r   kubernetes.io/service-account-token   3         3s
kube-system   default-token-27w5m   kubernetes.io/service-account-token   3         3s

# kubectl describe secret default-token-27w5m --namespace=kube-system
Name:       default-token-27w5m
Namespace:  kube-system
Labels:     <none>
Annotations:    kubernetes.io/service-account.name=default
        kubernetes.io/service-account.uid=80bc5d75-41e9-11e7-b90e-000c29f6f813

Type:   kubernetes.io/service-account-token

Data
====
ca.crt:     1233 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkZWZhdWx0LXRva2VuLTI3dzVtIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImRlZmF1bHQiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiI4MGJjNWQ3NS00MWU5LTExZTctYjkwZS0wMDBjMjlmNmY4MTMiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06ZGVmYXVsdCJ9.CCxdtFRagtEo2eiPZgkiHjLkGDgbvt7VWe2WZGsLKeh_7Z2t-bUawwXGYxgd0MT_lG2HJbmHRTUb57Zw1MGRMZ-u4dBx_J9hXztnrdWcOh8_L_stk64gFQXjXpuZee1ltDksm7pTXtCnG1x8zBBxoZVi0jadPDMC_HP2OzvJXHrUPbCb58PBIqjRjbuJUQgM_hooDoJryK_0wYOd8TWOKUJMqQdJwTozFciDcGE__F3BchgHqfO9064f3ki1qSrZsnTImTpCYsUu4sy1fbL7X-3mVFWNNbsIvscFnBWP1Poj2M_hgqG_e4VCXL6vv61ll1LytWUwqPxosk1Djk7rvQ

 

 

 

 

 

 

 

 

 

 

Michaelwubo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
AccountService
06-20
AccountService】是一个基于Java的客户端-服务器应用,它展示了如何通过Remote Method Invocation(RMI)接口实现客户端和服务器间的通信。在这个项目中,我们主要关注以下几个关键知识点: 1. **远程方法调用...
Openshift安装helm
运维求生之路
10-16 707
参考:https://segmentfault.com/a/1190000019608181 安装helm wget https://get.helm.sh/helm-v2.14.2-linux-amd64.tar.gz tar fxz helm-v2.14.2-linux-amd64.tar.gz 1.安装tiller: oc new-project helm-tiller oc project...
k8s (十) --- Kubernetes 存储 之 Secret
qq_35887546的博客
04-29 1245
Kubernetes 存储 之 Secret一、Secret简介二、Service Account三、Opaque Secret通过命令创建Secret通过yaml文件创建Secret将Secret挂载到Volume中将Secret设置为环境变量四、kubernetes.io/dockerconfigjson 类型 一、Secret简介 Secret对象类型用来保存敏感信息,例如密码、OAuth令...
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or
看看我都干了些啥!
04-05 7213
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or directory问题   kubectl get serviceaccount   NAME      SECRETS default   0   如果没有则需要添加   在apiserver的启动参数中添加: --...
k8s安全学习
Python_0011的博客
03-22 952
如果我们在创建Pod时,将Node节点的根目录挂载到Pod的某个目录下,由于我们能在Pod内部执行命令,所以我们可以修改挂载到Pod下的Node节点根目录中文件的内容,如果我们写入恶意crontab、web shell、ssh公钥,便可以从Pod逃逸到宿主机Node,获取Node控制权。一个 Node(节点)可以有多个Pod(容器组),kubernetes master 会根据每个 Node(节点)上可用资源的情况,自动调度 Pod(容器组)到最佳的 Node(节点)上。
Kubernetes7——Secret配置管理
qwejiaji的博客
08-01 304
目录一、secret介绍二、Service Account三、Opaque Secret四、secret应用五、docker registry 一、secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安
gcp-serviceaccount-controller:这是一个控制器,可自动创建gcp服务帐户并将其保存到kubernetes机密中
05-27
Gcp服务帐户控制器 该控制器通过kubernetes资源管理gcp服务帐户。...部署方式 首先,您需要创建一个至少具有以下权限的GCP服务帐户: - iam.serviceAccounts.create - iam.serviceAccounts.delet
K8s集群部署配置文件包
10-27
部署Dashboard涉及到创建ServiceAccount、Role和RoleBinding以定义权限,然后使用yaml文件部署Dashboard UI。此外,还需要考虑安全访问,例如通过HTTPS和认证令牌来保护Dashboard。 除了上述核心组件,压缩包可能还...
AHao.WindowsService.zip
01-15
processInstaller.Account = ServiceAccount.LocalSystem; serviceInstaller.ServiceName = "我的Windows服务"; serviceInstaller.DisplayName = "我的Windows服务 显示名"; // 安装和卸载事件 this....
c# windows service 安装卸载源代码
08-22
processInstaller.Account = ServiceAccount.LocalSystem; serviceInstaller = new ServiceInstaller(); serviceInstaller.ServiceName = "HttpService"; serviceInstaller.StartType = ServiceStartMode....
k8s容器中特殊路径
weixin_42821400的博客
11-27 71
该路径存放的是token信息,根据该token信息可以进行一些操作。该路径下,存放的是该容器所在的命名空间信息。
k8s之service account
fengcai_ke的博客
07-11 3483
k8s service account分析
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 871
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2361
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
Kubernetes之ServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
k8s访问控制
LY_CS的博客
04-13 995
访问k8s的API Server的客户端主要分为两类: kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。 pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccou...
Kubernetes(K8s)_06_配置容器
爱喝可乐的w
02-18 1690
Kubernetes(K8s)Pod中容器快速且安全配置
解决Prometheus报错:unable to use specified CA cert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
wang的博客
06-14 2189
问题描述: 1.通过Prometheus监控k8snode节点状态,添加完配置文件,重启后发现在Prometheus界面中查看不到node节点信息。 2.查看systemctl status prometheus 发现报unable to use specified CA cert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt 3.本文部署的k8s没有采用用户名密码认证,是通过token的方式认证,所以再Prometheus.yml配置文件中不能配
service account prometheus/prometheus: serviceaccount "prometheus" not found'
最新发布
06-27
这个错误信息通常出现在使用Kubernetes(k8s)环境中的Prometheus监控系统时,当你尝试创建、更新或管理Prometheus ServiceAccount时。"serviceaccount \"prometheus\" not found'"意味着Kubernetes集群中没有找到名为"prometheus"的服务账户。 ServiceAccount是Kubernetes用于身份验证和授权的内置资源,它为Pod提供服务。Prometheus部署通常需要一个服务账户来执行其监控任务,可能包括读取和写入指标、配置文件等。 解决这个问题的步骤如下: 1. **确认服务账户存在**:检查Prometheus的配置文件(通常是YAML格式),确保其中定义了正确的`serviceAccountName`,例如: ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: prometheus ``` 2. **创建服务账户**:如果服务账户不存在,你需要创建一个: ```sh $ kubectl create sa prometheus ``` 3. **给Prometheus Pod赋权**:确保在Prometheus的Deployment或RoleBinding配置中,已经关联了这个服务账户: ```yaml apiVersion: apps/v1 kind: Deployment spec: serviceAccountName: prometheus ``` 4. **刷新Kubernetes资源**:运行`kubectl get pods,sa`看是否已经应用了新的配置。 如果问题依然存在,可能是权限问题或者Prometheus的资源定义与集群其他部分的同步出现了问题,需要检查其他可能影响的配置文件,如Role和ClusterRole。如果需要,可以查看集群的日志或使用`kubectl describe`命令获取更多详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值