kubernetes如何使用自有的用户系统

最新推荐文章于 2023-03-16 12:31:32 发布
最新推荐文章于 2023-03-16 12:31:32 发布
阅读量535 收藏 1
点赞数
分类专栏: kubernetes 访问控制 文章标签: kubernetes 服务器 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Not_a_penny_to_name/article/details/122009230
版权
本文介绍了如何在Kubernetes中使用自有的用户系统,通过webhook token认证方式与公司的现有用户管理系统集成。详细步骤包括配置API server、实现认证服务器以及验证过程。通过这个方法,可以避免维护多套用户管理系统。
摘要由CSDN通过智能技术生成

kubernetes如何使用自有的用户系统

K8s 支持基于第三方的webhook token 的认证方式,有了这套机制可以可以让k8s使用公司现有的用户管理系统无需维护多套。

要支持webhook token 认证需要对api server 进行一下配置

  • --authentication-token-webhook-config-file 描述如何调用远程认证服务器的配置文件

  • --authentication-token-webhook-cache-ttl 认证的缓存时间,默认2分钟。

配置文件使用Kubeconfig 文件格式

# api 版本
apiVersion: v1
#  api 类型
kind: Config
# 远程服务器信息
clusters:
  - name: name-of-remote-authn-service
    cluster:
      certificate-authority: /path/to/ca.pem         # 验证远程服务的CA
      server: https://authn.example.com/authenticate #  远程服务器地址

#  users 指代 API 服务的 Webhook 配置
users:
  - name: name-of-api-server
    user:
      client-certificate: /path/to/cert.pem # Webhook 插件要使用的证书
      client-key: /path/to/key.pem          # 与证书匹配的密钥

# kubeconfig 文件需要一个上下文(Context),此上下文用于本 API 服务器
current-context: webhook
contexts:
- context:
    cluster: name-of-remote-authn-service
    user: name-of-api-server
  name: webhook

当用户调用 api server 服务使用token 时,身份认证webhook 会用POST请求发送一个JSON 序列化的对象到远程服务器。该对象是 authentication.k8s.io/v1beta1Token Review 对象,其中包含了Token 信息。

POST 请求的Body 如下:

{
   
  "apiVersion": "authentication.k8s.io/v1beta1",
  "kind": "TokenReview",
  "spec": {
   
    "token": "<持有者令牌>"
  }
}

拿到了k8s 发送的请求 我们必须填充该请求的status 字段,标记该登录请求是否成功。如果成功 需要返回以下内容

{
   
  "apiVersion": "authentication.k8s.io/v1beta1",
  "kind": "TokenReview",
  "status": {
   
    "authenticated": true,
    "user": {
   
      "username": "vic@example.com",
      "uid": "42",
      "groups": [
        "developers",
        "qa"
      ],
      "extra": {
   
        "extrafield1": [
          "extravalue1",
          "extravalue2"
        ]
      }
    }
  }
}

若不成功 则将authenticated 置成false。

认证服务器

根据以上信息,我们就可以实现我们的认证服务器了。下面代码是一个基于github验证token的认证方式,根据上文:

STEP 1: 解析请求的body,并获取到token

STEP 2: 将获取的token 发送到github 进行认证

STEP 3: 将github返回的用户信息组装成 TokenReview 的status 并返回

package main

import (
	"context"
	"encoding/json"
	"github.com/google/go-github/github"
	"golang.org/x/oauth2"
	authentication "k8s.io/api/authentication/v1"
	"log"
	"net/http"
)

func authenticate(w http.ResponseWriter,r *http.Request)  {
   
	// 1. 解析请求体中的body,获取token
	decoder := json.NewDecoder(r.Body
最低0.47元/天 解锁文章
Not_a_penny_to_name
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes用户权限认证体系
qq_41642608的博客
02-16 458
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,系统根据用户所有的权限,让我们进行有限的操作。 但像这种应用,没有登陆界面,我们是怎么来实现。 首先,我们来了解k8s客户端是怎么通过认证来获取k8s集群的控制。 k8s客户端需要通过3...
Kubernetes的四种用户部署场景
weixin_33759269的博客
10-11 556
本文讲的是Kubernetes的四种用户部署场景【编者的话】这是一篇介绍生产环境使用Kubernetes用户部署场景。【深入浅出学习 etcd】etcd为分布式系统提供可靠、高效的配置管理服务,在Docker、Kubernetes、Mesos等平台中扮演了越来越重要的角色。作为2013年开始的项目,它还很年轻,官方文档中缺乏实现上全面、系统的介绍,本课...
Kubernetes中的用户权限管理实战【详细步骤】
marlinlm的博客
12-23 1658
逐步介绍如何为Kubernetes集群进行用户权限管理
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
weixin_42896216的博客
03-16 769
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
k8s创建用户账号——User Account
浅抒流年的博客
01-22 1020
k8s创建用户账号——User Account
使用kubernetes部署ELK日志系统
07-24
总结起来,使用Kubernetes部署ELK日志系统是一项复杂但高效的任务,它利用了k8s的动态管理和扩展能力,使得日志管理变得更加灵活和自动化。正确配置和优化每个组件的YAML文件,可以构建出一个强大且易于维护的日志...
Kubernetes系统架构简介
03-03
Kubernetes作为Docker生态圈中重要一员,是Google多年大规模容器管理技术的开源版本,是产线实践经验的最佳表现[G1]。如UrsH?lzle所说,无论是公有云还是私有云甚至...Kubernetes是Google开源的容器集群管理系统,其提
UOS服务器操作系统kubernetes部署手册
11-17
UOS服务器操作系统kubernetes部署手册 适用操作系统:UOS服务器操作系统1xxxA和1xxxE 统信服务器操作系统
Kubernetes系统常见运维技巧
03-01
本文节选自龚正等编著的《Kubernetes权威指南》,该节主要对常用的Kubernetes系统运维操作和技巧进行详细说明。然后,通过kubectlreplace命令完成对Node状态的修改:查看Node的状态,可以观察到在Node的状态中增加了...
深入理解 Kubernetes 中的用户与身份认证授权
云原生实验室
11-23 946
❝本文转自 Cylon 的博客,原文:https://www.cnblogs.com/Cylon/p/16905335.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang本章主要简单阐述 kubernetes 认证相关原理,最后以实验来阐述 kubernetes 用户系统的思路。主要内容:了解 kubernetes 各种认证机制的原理了解 kubernet...
云计算虚拟化:k8s认证流程&用户&用户组&权限相关
dustzhu的博客
09-28 1638
一. 前言 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户/用户;前者由Kubernetes进行管理主要用于pod;后者由外部应用进行管理,主要是人 在安全方面,Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等, Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server
kubernetes新建自定义用户(新cluster 用户名)
wt334502157的博客
10-30 1271
默认的kubernetes集群我们一般使用的都是:kubernetes-admin 用户来管理增删改查;那如何添加一个自定义用户呢,操作步骤如下: [root@master pki]# pwd /etc/kubernetes/pki [root@master pki]# [root@master pki]# [root@master pki]# [root@master pki]#...
kubernetes用户授权
weixin_34401479的博客
02-22 548
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes基础:用户认证
知行合一 止于至善
08-15 1134
这篇文章总结和介绍一下Kubernetes用户和认证相关的基础知识以及实际使用时常用的相关命令。
Kubernetes-身份认证
菲宇运维
08-19 1508
1、Kubernetes中的用户 所有的系统都存在访问和使用其的用户Kubernetes也一样,在Kubernetes集群中有存在两类用户: service accounts:由Kubernetes进行管理的特殊用户; 普通用户:普通用户是由外部应用进行管理的用户。 对于普通用户Kubernetes管理员只负责为其分配私钥。普通用户可能来自于Keystone或google中,或者甚至是存...
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7127
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
Kubernetes集群添加用户
cr7258的博客
03-01 524
Kubernetes中的用户 K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User) ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不管理用户,但是在K8S接收API请求时,是可以认知到发出请求的用户的,实际上,所有对K8S的API请求都需要绑定身份信息(User或者ServiceAccount),这意味着,可以为User配
Kubernetes-认证
好记性不如烂笔头
05-02 8199
https://kubernetes.io/docs/admin/authentication/Kubernetes中的用户所有Kubernetes集群有两类用户:由Kubernetes管理的服务帐户和正常用户。正常用户是假定被外部或独立服务管理的。管理员分配私钥,用户像Keystone或google账号一样,被存储在包含用户名和密码列表的文件里。在这点上,Kubernetes没有代表正常用户帐户的
kubernetes kubelet参数
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
12-11 5925
概要 kubelet 是运行在每个节点上的主要的“节点代理”,每个节点都会启动kubelet进程,用来处理Master节点下发到本节点的任务,按照PodSpec描述来管理Pod和其中的容器(PodSpec 是用来描述一个 pod 的 YAML 或者 JSON 对象)。 kubelet 通过各种机制(主要通过 apiserver )获取一组 PodSpec 并保证在这些 PodSpec 中描述的容器...
kubernetes 使用场景
最新发布
07-13
和各位同事对我交流工作的支持和鼓励。我相信,在大家的共同努力Kubernetes是一个开源的容器编排平台,它提供了一个强大的...下面是一些Kubernetes使用场景: 1. 容器联通的数字化转型做出更大的贡献! 谢谢大家!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值