一个 Projeted Volume 挂载 service account 引发的故障

于 2023-12-15 21:07:59 发布
阅读量75 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1MzY4NzQ1OA==&mid=2247520744&idx=2&sn=e64029f16252c44d1b5a78a67883bbaa&chksm=fa8bd08033fc7581f048f451bebb6211f954e3fd7d7aba336004b67fccd6a5feae0163e93c92&scene=126&sessionid=0
版权

原文链接:https://ieevee.com/tech/2023/12/13/projected-volume.html

最近接到一个业务报告的故障,提到 argo 创建的流水线运行失败,其中 Pod 去访问 kube API Server 时,偶发出现 401 认证不通过的问题。

API Server 报错如下:

E1212 18:37:53.063390       1 claims.go:126] unexpected validation error: *errors.errorString
E1212 18:37:53.063583       1 authentication.go:63] "Unable to authenticate the request" err="[invalid bearer token, Token could not be validated.]"

从报错上来看,的确没有通过 API Server 的认证。

func (v *validator) Validate(ctx context.Context, _ string, public *jwt.Claims, privateObj interface{}) (*apiserverserviceaccount.ServiceAccountInfo, error) {
 private, ok := privateObj.(*privateClaims)
 if !ok {
  klog.Errorf("jwt validator expected private claim of type *privateClaims but got: %T", privateObj)
  return nil, errors.New("Token could not be validated.")
 }
 nowTime := now()
 err := public.Validate(jwt.Expected{
  Time: nowTime,
 })
 switch {
 case err == nil:
 case err == jwt.ErrExpired:
  return nil, errors.New("Token has expired.")
 default:
  klog.Errorf("unexpected validation error: %T", err)
  return nil, errors.New("Token could not be validated.")
 }

先不看 API Server 的报错,看看业务使用的认证方式是什么。

通常业务使用的是 service account 来访问 API Server,这种情况业务代码使用 incluster kubeconfig 就可以通过 API Server 的认证了;如果需要相应的权限,则给这个 service account 授予对应的 RBAC 权限即可。

这种用法的一个弊端是一旦授予出去了,service account 的有效期就是永久的,回收很困难。

projected volumes 提供了一种新的 service account 注入的方法:https://kubernetes.io/docs/concepts/storage/projected-volumes/#serviceaccounttoken

如下是一个示例:

apiVersion: v1
kind: Pod
metadata:
  name: sa-token-test
spec:
  containers:
  - name: container-test
    image: busybox:1.28
    command: ["sleep", "3600"]
    volumeMounts:
    - name: token-vol
      mountPath: "/service-account"
      readOnly: true
  serviceAccountName: default
  volumes:
  - name: token-vol
    projected:
      sources:
      - serviceAccountToken:
          audience: api
          expirationSeconds: 3600
          path: token

kubelet 会为 service account 临时生成一个 token,并将 token 注入到/service-account,token 有效期为3600秒。你可以将 token 取出来,写到 kubectl 使用的 config 中,同样可以访问 API Server。

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 「CA」
    server: https://kubernetes-apiserver.kube-system.svc.global.tcs.internal:6443
  name: global
contexts:
- context:
    cluster: global
    user: xxx
  name: xxx@global
current-context: xxx@global
kind: Config
preferences: {}
users:
- name: xxx
  user:
    token: 「token」

回到这个问题,既然怀疑这个 token 有问题,于是我们将 Pod 的启动命令改成 sleep infinity,等 Pod 启动后,将 token 拿出来放到 config 中,发现 token 没有任何问题,而且过期时间也足够。

陷入了沉思。

不过没关系,我们回过来看上面 API Server 的报错。我们使用的是 k8s 1.22 版本,只有 ErrExpired 会打印具体的报错,其他的错误只会傻傻的打印 *errors.errorString

func (c Claims) ValidateWithLeeway(e Expected, leeway time.Duration) error {
 if e.Issuer != "" && e.Issuer != c.Issuer {
  return ErrInvalidIssuer
 }

 if e.Subject != "" && e.Subject != c.Subject {
  return ErrInvalidSubject
 }

 if e.ID != "" && e.ID != c.ID {
  return ErrInvalidID
 }

 if len(e.Audience) != 0 {
  for _, v := range e.Audience {
   if !c.Audience.Contains(v) {
    return ErrInvalidAudience
   }
  }
 }

 if !e.Time.IsZero() && e.Time.Add(leeway).Before(c.NotBefore.Time()) {
  return ErrNotValidYet
 }

 if !e.Time.IsZero() && e.Time.Add(-leeway).After(c.Expiry.Time()) {
  return ErrExpired
 }

 return nil
}

从上面的代码来看,返回的错误情况有很多,但是最大的嫌疑,就是 ErrNotValidYet。于是检查了各个节点的时间,发现果然时钟不同步,有一台服务器的时钟慢了2分钟。

那么是为什么呢?

原因很简单。证书签发后,如果是发给时钟慢的节点,会被 API Server 认为证书签发在未来的一个时间,所以还没生效,认证失败;为什么取出来 token 就好了呢?因为这个动作是人来做的,等把 token 取出来编辑好 kubeconfig,已经过去了2分钟,证书也就生效了。

btw,token 是一个 jwt,可以到 jwt.io 上检查,可视化做的非常好。

2b0d21059c969eda78eeef4a2b0e4194.png

加入 Sealos 开源社区

体验像个人电脑一样简单的云操作系统

🏠官网链接

https://sealos.run

🐙GitHub 地址

https://github.com/labring/sealos

📑访问 Sealos 文档

https://sealos.run/docs/Intro

🏘️逛逛论坛

https://forum.laf.run/

往期推荐

通过优化 Laf 运行时,我们把云开发的成本降了 10 倍

2023-12-13

133b1cb6f0abc82201deb839f5c90dae.jpeg

没错,数据库确实应该放入 K8s 里!

2023-12-07

5ce7862c03b210bf6e0710f8774b0330.jpeg

屠龙少年终成恶龙:回望我在谷歌的 18 年

2023-11-24

978a374650956909c36cb2cfb8970d37.jpeg

关于 Sealos

Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。

关注 Sealos 公众号与我们一同成长👇👇👇

d196651d80278391421d1ddcd27661f2.jpeg

米开朗基杨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker volume 挂载卷的实现方法
09-30
主要介绍了Docker volume 挂载卷的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
Kubernetes之ServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
【kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 1688
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
docker容器 - 卷(volume)- 挂载
lpfstudy的博客
06-14 3983
在容器化应用程序开发和部署过程中,卷(Volume)是一个非常常见的概念,它可以将主机文件系统或其他容器的文件系统挂载到容器内部的特定路径上,从而为容器提供额外的持久化存储。持久化存储:容器中的文件系统是短暂且易变的,当容器被删除后,容器内数据也会随之消失。而通过使用卷,可以将需要持久化的数据存储在卷中,从而保证数据的持久化。数据共享:容器化应用程序通常由多个容器组成,这些容器需要分享数据或配置信息。通过使用卷,不同的容器之间可以共享相同的卷,从而实现数据共享。数据备份。
Docker查看容器volume挂载
web15185420056的博客
08-14 4082
docker:如何查看容器的挂载目录。
如何给一个正在运行的Docker容器动态添加Volume
09-30
主要介绍了如何给一个正在运行的Docker容器动态添加Volume,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈docker Dockerfile 指令 VOLUME 介绍
01-11
2)当我们在开发一个web应用时,开发环境是在主机本地,但运行测试环境是放在docker容器上。 这样的话,我在主机上修改文件(如html,js等)后,需要再同步到容器中。这显然比较麻烦。 3)多个容器运行一组相关联的...
起点小说解锁.js
04-27
起点小说解锁.js
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
299-教育行业信息化与数据平台建设分享.pptx
04-27
299-教育行业信息化与数据平台建设分享.pptx
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
时间复杂度的一些相关资源
最新发布
04-27
时间复杂度是计算机科学中用来评估算法效率的一个重要指标。它表示了算法执行时间随输入数据规模增长而变化的趋势。当我们比较不同算法的时间复杂度时,实际上是在比较它们在不同输入规模下的执行效率。 时间复杂度通常用大O符号来表示,它描述了算法执行时间上限的增长率。例如,O(n)表示算法执行时间与输入数据规模n呈线性关系,而O(n^2)则表示算法执行时间与n的平方成正比。当n增大时,O(n^2)算法的执行时间会比O(n)算法增长得更快。 在比较时间复杂度时,我们主要关注复杂度的增长趋势,而不是具体的执行时间。这是因为不同计算机硬件、操作系统和编译器等因素都会影响算法的实际执行时间,而时间复杂度则提供了一个与具体实现无关的评估标准。 一般来说,时间复杂度越低,算法的执行效率就越高。因此,在设计和选择算法时,我们通常希望找到时间复杂度尽可能低的方案。例如,在排序算法中,冒泡排序的时间复杂度为O(n^2),而快速排序的时间复杂度在平均情况下为O(nlogn),因此在处理大规模数据时,快速排序通常比冒泡排序更高效。 总之,时间复杂度是评估算法效率的重要工具,它帮助我们了解算法在不同输入规模下的性
安全承诺书-施工(单位版).docx
04-27
5G通信行业、网络优化、通信工程建设资料
基于Springboot+Vue人口老龄化社区服务与管理平台-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
node-v12.22.6-sunos-x64.tar.xz
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
通信工程施工作业现场高危险源控制图集.docx
04-27
5G通信行业、网络优化、通信工程建设资料
毕设绝技《基于小程序的交友系统的设计与实现》
04-27
《基于小程序的交友系统的设计与实现》是一个融合了小程序技术和社交功能的毕业设计项目。该项目旨在通过开发一款小程序,为用户提供一个便捷、有趣的交友平台,满足用户寻找新朋友、拓展社交圈的需求。 一、项目背景与目标 随着移动互联网的普及,小程序以其轻便、易用的特性受到了广大用户的喜爱。本项目旨在利用小程序技术开发一款交友系统,通过简洁明了的界面设计和丰富多样的社交功能,吸引用户参与并提升用户体验。通过实现这一系统,旨在帮助用户拓展社交圈,增进人际关系,并推动社交领域的创新与发展。 二、系统设计与功能实现 用户注册与登录:系统提供用户注册与登录功能,确保用户信息的真实性和安全性。用户可以通过手机号或第三方社交账号进行注册和登录。 个人资料展示:用户可以在个人资料页面展示自己的基本信息、兴趣爱好、照片等,以便其他用户了解并产生互动。 附近的人:系统通过定位功能展示附近的其他用户,用户可以浏览附近的人的信息,并主动发起聊天或交友请求。 聊天功能:系统提供一对一的聊天功能,用户可以与感兴趣的人进行实时交流,增进彼此的了解。 活动组织:用户可以发起或参与各类线下活动,如聚会、运动、旅行
安全生产教育培训制度.doc
04-27
5G通信行业、网络优化、通信工程建设资料
Docker volume 挂载时文件或文件夹不存在
05-15
当你在使用 Docker volume 挂载时,如果挂载的文件或文件夹不存在,Docker 会自动创建该文件或文件夹。如果你遇到了挂载失败的情况,可以按照以下步骤进行排查: 1. 确认挂载路径是否正确。如果挂载路径不存在,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值