如何使用curl访问k8s的apiserver

最新推荐文章于 2023-07-14 23:05:27 发布
最新推荐文章于 2023-07-14 23:05:27 发布
阅读量1.5k 收藏 3
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/u/1464083/blog/3065433
版权

使用TOKEN授权访问api-server在k8s运维场景中比较常见,

apiserver有三种级别的客户端认证方式

1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式

2,HTTP Token认证:通过一个Token来识别合法用户

3,HTTP Base认证:通过用户名+密码的认证方式

通常的运维场景使用第二种Token较为方便Token的权限是关联service account,

# kubectl describe secrets admin-token-2q28f -n kube-system

Name:         admin-token-2q28f
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: admin
              kubernetes.io/service-account.uid: 93316ffa-7545-11e9-b617-00163e06992d
Type:  kubernetes.io/service-account-token
Data
====
ca.crt:     1419 bytes
namespace:  11 bytes
token:      eyJhbGciOiJ******

Service Account 的权限来自Clusterrolebinding-->ClusterRole

# kubectl describe serviceaccount admin -n kube-system

Name:                admin
Namespace:           kube-system
Labels:              <none>
Annotations:         kubectl.kubernetes.io/last-applied-configuration:
                       {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"admin","namespace":"kube-system"}}
Image pull secrets:  <none>
Mountable secrets:   admin-token-2q28f
Tokens:              admin-token-2q28f
Events:              <none>

通过clusterrolebinding 可以拿到ClusterRole对应的rolename

# kubectl get clusterrolebinding admin -o yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"rbac.authorization.k8s.io/v1beta1","kind":"ClusterRoleBinding","metadata":{"annotations":{},"name":"admin"},"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"cluster-admin"},"subjects":[{"kind":"ServiceAccount","name":"admin","namespace":"kube-system"}]}
  creationTimestamp: 2019-05-13T06:08:49Z
  name: admin
  resourceVersion: "1523"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/admin
  uid: 93356439-7545-11e9-b617-00163e06992d
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin
  namespace: kube-system

这个role是什么权限?

# kubectl get clusterrole cluster-admin -o yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2019-05-13T06:01:10Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "55"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/cluster-admin
  uid: 817e2b9e-7544-11e9-9766-00163e0e34c8
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

从clusterrole权限来看,admin关联的权限还是比较大的,正常的集群运维中建议根据自身的真实需要,去定制权限。

了解完这些,分享一个小技巧,这样后面客户再有curl访问apiserver的需求,我相信你没问题了!

# kubectl describe secrets $(kubectl get secrets -n kube-system |grep admin |cut -f1 -d ' ') -n kube-system |grep -E '^token' |cut -f2 -d':'|tr -d '\t'|tr -d ' '

eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi10b2tlbi0ycTI4ZiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJhZG1pbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjkzMzE2ZmZhLTc1NDUtMTFlOS1iNjE3LTAwMTYzZTA2OTkyZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTphZG1pbiJ9.EQzj2LsWn2k31m-ksn9GmB1bZTi1Xjw1fnmWFgRKlwhS2QAaVnDXfV_TgUovpq5oWKh7h0gTVaNaK4KKK76yAv6GfMehpOdIO5xHCfQAWVRhla1cwUDC64tz7vJ1zGcx_lz4hKfhdXN1T8FYS0B0hf3h2OloAMfCZTzDjRWz24GVwH-WRTEwY_5tav65GiZzBTsnz1vV7NOcx-Kl8AK2HbowtBYqK05x7oOmp84FiQMwpYU-7g0c03h61zev4lvf0e-HFtqKiByPi8gD-uiVRvE-xayOz5oIESWw2GfhzfNf_uyR7eLplCKUBecVMtwVsBauNaeqU-IIJW5VIHAOxw
# TOKEN=$(kubectl describe secrets $(kubectl get secrets -n kube-system |grep admin |cut -f1 -d ' ') -n kube-system |grep -E '^token' |cut -f2 -d':'|tr -d '\t'|tr -d ' ')

# kubectl config view |grep server|cut -f 2- -d ":" | tr -d " "

https://192.168.0.130:6443
# APISERVER=$(kubectl config view |grep server|cut -f 2- -d ":" | tr -d " ")

使用curl访问apiserver

# curl -H "Authorization: Bearer $TOKEN" $APISERVER/api  --insecure

{
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "192.168.0.130:6443"
    }
  ]
}


原文链接
本文为云栖社区原创内容,未经允许不得转载。

转载于:https://my.oschina.net/u/1464083/blog/3065433

chikuai9995
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S---通过curl访问api
qq_41768644的博客
01-07 582
K8S 通过curl访问api的方式
k8s restful api 访问
01-20
restful api访问k8s集群,增删改查信息。 需要预先创建访问权限的配置。 官网api文档 https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.9/ 下面罗列部分api curl -u admin:admin “https://localhost:6443/api/v1” -k curl -u admin:admin “https://localhost:6443/api/v1/pods” -k curl -u admin:admin “https://localhost:6443/api/v1/namesp
使用curl直接访问Kubernetes apiServer
J. Cole
12-22 706
首先,运行kubectl proxy命令让apiServer在本地端口运行: ubuntu@perf-calico-0:~$ kubectl proxy --port=8080 & [1] 19016 Starting to serve on 127.0.0.1:8080 用-v参数可以查看某个kubectl命令的详细日志,从而找到某个api的http方法url: ubuntu@perf-calico-0:~$ kbctl apply -f np -v 7 I1222 03:47:46.38230
linux grep cut tr
Neil的博客
02-02 258
[root@k8s-master ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authority-data: DATA+OMITTED server: https://192.168.159.135:6443 name: kubernetes contexts: - co...
curl 访问k8s https 证书和token 几种方式
码农崛起
12-16 9079
[root@localhost ~]# curl https://172.16.10.87:6443/api/v1/namespaces curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bund...
curl 命令访问 kubernetes API server
安心Smile的博客
06-16 5088
Kubernetes是一个完全基于API的系统。使用curl或Postman等简单工具,在构建应用程序之前获取API信息更方便。 要与Kubernetes API进行交互,您需要具有正确权限的ServiceAccount,通过(Cluster)Role和RoleBinding获得。使用ServiceAccount的token进行身份验证。 由于所有通信都通过TLS进行,因此您还需要自签名证书(c...
k8s curl调试网络
学习笔记
01-02 1041
k8s curl调试网络 kubectl run curl-lmjun --image=radial/busyboxplus:curl -n stage -i --tty --rm
curl 访问k8s api-server
zhaoleiaixiongrui的博客
07-14 230
cluster-admin:允许用户或服务账号在整个集群中进行任何操作,包括创建、修改和删除资源等。kube-system cluster-admin 允许用户或服务账号在整个集群中进行任何操作,包括创建、修改和删除资源等。view ClusterRole对象允许用户或服务账号查看集群中的资源,但不允许进行修改或删除等操作。admin:允许用户或服务账号查看、修改和删除资源,但不允许访问集群级别的操作,例如节点和存储等资源。方法1 ,和方法2 都可以获取k8s 的客户端证书,客户端私钥,以及ca证书;
php使用curl访问https示例分享
10-26
curl是利用URL语法在命令行方式下工作的开源文件传输工具,下面介绍一下php使用curl访问https的示例,大家参考使用
php使用curl伪造浏览器访问操作示例
10-16
主要介绍了php使用curl伪造浏览器访问操作,结合实例形式分析了php使用curl伪造浏览器访问的原理与具体实现技巧,需要的朋友可以参考下
php使用curl并发减少后端访问时间的方法分析
10-22
主要介绍了php使用curl并发减少后端访问时间的方法,结合实例形式对比分析了curl使用并发访问前后程序运行耗时,具有一定参考借鉴价值,需要的朋友可以参考下
curl访问webapi的一个demo
09-29
利用开源库curl写的一个访问webapi的一个demo,内有curl的头文件和静态库(VC9和VC14)
lua-cURL访问http/https
08-08
这是编译好的dll(带demo),cURL比luacurl功能强大的多,项目源码及使用: https://github.com/Lua-cURL/Lua-cURLv3
使用curl操作openstack swift.docx
01-02
使用curl操作openstack swift使用curl操作openstack swift使用curl操作openstack swift使用curl操作openstack swift使用curl操作openstack swift使用curl操作openstack swift使用curl操作openstack swift使用curl...
PHP下使用CURL方式POST数据至API接口的代码
10-27
PHP下使用curl方式post数据至api接口的方法,大部分的API的HTTP请求方式都为GET,所以不管用AJAX和PHP二次处理都能拿到返回的数据,但是一些API的HTTP请求方式是POST,那么我们就需要使用curl
PHP使用CURL模拟登录的方法
10-23
本文给大家介绍的是PHP使用CURL模拟登录的方法,思路和其他模拟登陆的程序不同,有需要的小伙伴可以详细看下。
PHPCurl使用详解.doc
11-28
PHPCurl使用详解.doc
k8s二进制文件以及docker二进制文件
03-09
kubectl cluster-info # 可以看到kubernetes master(apiserver)组件 running kubectl get node # 可以看到单 node Ready状态 kubectl get pod --all-namespaces # 可以查看所有集群pod状态 kubectl get svc --...
PHP Curl 请求API
01-02
利用PHP中的 Curl 请求API PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。 libcurl目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl...
curl k8s api测试
最新发布
09-15
您可以使用curl命令来测试Kubernetes API。以下是一个示例命令: ```bash curl https://kubernetes-api-url/api/v1/namespaces -H "Authorization: Bearer <token>" ``` 在上面的命令中,将 `kubernetes-api-url` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值