云原生开发中,client-go如何使用token访问集群资源

最新推荐文章于 2024-05-07 14:47:54 发布
最新推荐文章于 2024-05-07 14:47:54 发布
阅读量1.9k 收藏 3
点赞数
文章标签: 云原生 golang kubernetes 后端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chrboy/article/details/122540792
版权

在kubernetes相关云原生程序的开发过程中,离不开的工具就是 client-go 这个库。目前,集群权限认证基本有两种方式,一是使用 kubeconfig 文件进行认证,另一个就是把服务运行到集群内,使用 InClusterConfig 进行认证(即 serviceaccount 拥有的集群权限),但是在实际的开发过程中,这两种方式都不够灵活。比如,需要对多个集群进行控制时,如果使用kubeconfig文件的方式,就必须指定配置文件,而InCluster只能对当前集群起作用,多个集群,势必需要在每个集群都运行一个程序

分析 InClusterConfig 函数,可以看到,实际上只需要构造一个 *rest.Config 结构体,然后返回,就可以了

func InClusterConfig() (*Config, error) {
	const (
		tokenFile  = "/var/run/secrets/kubernetes.io/serviceaccount/token"
		rootCAFile = "/var/run/secrets/kubernetes.io/serviceaccount/ca.crt"
	)
	host, port := os.Getenv("KUBERNETES_SERVICE_HOST"), os.Getenv("KUBERNETES_SERVICE_PORT")
	if len(host) == 0 || len(port) == 0 {
		return nil, ErrNotInCluster
	}

	token, err := ioutil.ReadFile(tokenFile)
	if err != nil {
		return nil, err
	}

	tlsClientConfig := TLSClientConfig{}

	if _, err := certutil.NewPool(rootCAFile); err != nil {
		klog.Errorf("Expected to load root CA config from %s, but got err: %v", rootCAFile, err)
	} else {
		tlsClientConfig.CAFile = rootCAFile
	}

	return &Config{
		// TODO: switch to using cluster DNS.
		Host:            "https://" + net.JoinHostPort(host, port),
		TLSClientConfig: tlsClientConfig,
		BearerToken:     string(token),
		BearerTokenFile: tokenFile,
	}, nil
}

那么, 这个Config中那些字段是必须的呢?

  • Host 用于提供需要访问的集群地址

  • Token 用于提供授权

  • TLSClientConfig 提供tls安全访问层的数据
    如果不考虑数据传输的安全性,可直接设置 Insecure 为 true ,此时不需要对证书进行验证,当然不建议这么做,如果要使用证书,在CAData 中放ca证书就可以了

利用serviceaccount进行多集群访问示例:

package main

import (
	"context"
	"log"

	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/client-go/kubernetes"
)

type K8sConfig struct {
	Name  string // 集群名称
	Host  string // 集群地址 https://xxxx:8443
	Token string // Token
	CA    string // CA证书
}

var (
	testconfig K8sConfig = K8sConfig{
		Name:  "test",
		Host:  "https://172.16.10.10:6443",
		Token: "xxxxxxxx", // 存放 serviceaccount对应secret的token
		CA:    testCa,
	}
	prodconfig K8sConfig = K8sConfig{
		Name:  "prod",
		Host:  "https://172.16.20.10:6443",
		Token: "xxxxxxxx",
		CA:    prodCa,
	}
	// 可继续添加其他集群配置
)

const (
    testCa = `xxxxxx` // 存放 serviceaccount对应secret的ca
    prodCa = `xxxxxx`
)

func SelectClusterConfig(env string) (*rest.Config, error) {
	var c K8sConfig
	switch env { // 多集群支持
	case "test":
		c = testconfig
	case "prod":
		c = prodconfig
	default:
		log.Printf("环境: %s 不支持", env)
		return nil, fmt.Errorf("环境: %s 不支持", env)
	}

	return &rest.Config{
		Host:            c.Host,
		BearerToken:     c.Token,
		BearerTokenFile: "",
		TLSClientConfig: rest.TLSClientConfig{
			// Insecure: true,  // 设置为true时 不需要CA
			CAData: []byte(c.CA),
		},
	}, nil
}

// GetPodByName 获取pod信息
func GetPodByName(env, namespace, podname string) {
	config, err := SelectClusterConfig(env)
	//config, err := clientcmd.BuildConfigFromFlags("", "C:\\Users\\Admin\\.kube\\config")
	if err != nil {
		log.Println("BuildConfigFromFlags Err:", err)
		return
	}
	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
		log.Println("NewForConfig Err:", err)
		return
	}
	pod, err := clientset.CoreV1().Pods(namespace).Get(context.Background(), podname, metav1.GetOptions{})
	if err != nil {
		log.Println("GetPod Err:", err)
		return
	}
	log.Println("获取到pod:", pod)
}

func main() {
    GetPodByName("test", "default", "nginx-xxxx-xxxxxxxx")
}

上面的示例中,集群的配置信息直接硬编码,在实际的应用中,这部分的数据可以从配置中心、配置文件中获取

以上配置和下面直接使用curl访问的方式类似

# 获取服务器地址及端口
APISERVER=$(kubectl config view | grep server | cut -f 2- -d ":" | tr -d " ")
# tr -d '\t' 可能会失败 可能是空格
# TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut -f1 -d ' ') | grep -E '^token' | cut -f2 -d':' | tr -d '\t')
TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut -f1 -d ' ') | grep -E '^token' | cut -f2 -d':' | tr -d ' ')
curl $APISERVER/api/v1/namespaces/default/pods/nginx-xxxx-xxxxxxxx --header "Authorization: Bearer $TOKEN" --insecure

因为集群通常为rbac认证,如果没有相应的权限,则不能访问对应的资源,所以还需要serviceaccount赋予对应的权限

serviceaccount授权示例:

apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    app: example
  name: sa-example
  namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  labels:
    app: example
  name: sa-example
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: sa-example
subjects:
  - kind: ServiceAccount
    name: sa-example
    namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    app: example
  name: sa-example
rules:
  - apiGroups:
      - ""
    resources:
      - pods
    verbs:
      - get
      - list
      - delete
  - apiGroups:
      - ""
    resources:
      - namespaces
    verbs:
      - get
      - list

chrboy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【AGC】AGC鉴权认证模式获取clientToken的方法
华为开发者联盟
08-27 2万+
访问网关的后端服务需要具备有效的clientId以及clientSecret,才能通过云侧网关的鉴权校验,并对业务接口发起有效地调用。第一种方法很简单,直接使用postman,在Body输入grant_type、client_id和client_secret的键值对,无需添加Headers,使用post方式直接发起请求,即可获得clientToken。登录AGC控制台,选择“用户与访问”。选择“API密钥 > Connect API”,点击“创建”,新建API客户端。欲了解更多更全技术文章,欢迎访问。..
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
【掌控集群之巅——Kubernetes客户端库client-go深度解析】
qq_44103359的博客
04-25 246
Kubernetes作为容器编排领域的领军者,其高度模块化和自动化的特性使其成为了云原生应用开发的首选平台。而在Kubernetes的众多组件client-go库扮演着至关重要的角色。client-go是Kubernetes的官方Go语言客户端库,它提供了与Kubernetes集群交互所需的API调用,使得开发者和管理员能够轻松地编写用于管理集群的脚本和工具。
【k8s多集群管理平台开发实践】八、client-go实现service读取列表、创建service、读取yaml配置并更新
最新发布
weixin_56364253的博客
05-07 1210
本章节主要讲解通过client-go实现service的列表读取和界面创建service,sevice的yaml配置文件读取和修改,并通过layui实现界面操作,其包含控制器这部分的代码,模型这部分代码,以及前端的html代码。
kubernetesclient-go总览
qq_36407557的博客
07-15 324
client-go总览[可参考][k8s-client-go-0.21.2] client-go总览client-go总览[可参考][k8s-client-go-0.21.2]client-go总览applyconfigurations包discovery包dynamic包 用于动态生成informer/lister/client等informer包kubernetes包listers包metadata包pkg包pkg包plugin包rest包restmapper包scale包third_party包too
ubuntu20.04server版本使用CLIENT-GO开发K8S——集群外的主机通过CLIENT_GO访问集群资源(POD)
qq_43591361的博客
06-04 2619
在k8s授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。在RABC API,通过如下的步骤进行授权:1)定义角色:在定义角色时会指定此角色对于资源访问控制的规则;
client-go QPS、Burst和令牌桶
NUCEMLS的博客
07-02 913
client-go令牌桶分析
REST2SQL11 基于jwt-go生成token与验证
03-08
在本主题,我们将深入探讨如何使用`jwt-go`库在Go语言生成和验证JSON Web Tokens(JWT),这是RESTful API设计的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
photoprism-client-go:成为Photoprism应用程序的客户端
05-22
作者: 安装go get github.com/kris-nova/photoprism-client-go支持的方法 func New ( connURL * url. URL , token , downloadToken string ) * V1Clientfunc ( v1 * V1Client ) AddPhotosToAlbum ( albumUUID ...
token-sockjs-client:使用sockjs进行WebSocket通信的库
05-06
如果在节点环境需要,此模块将导出node.js客户端库。 要访问浏览器版本,直接需要浏览器客户端文件。 浏览器客户端 除了之外,浏览器客户端不需要任何外部依赖。 Azuqua CDN还托管每个版本的缩小版本。 ...
insomnia-plugin-aws-cognito-token:适用于AWS Cognito的Insomnia插件
05-27
适用于AWS Cognito的Insomnia插件,可让您自动获取JWT令牌并将令牌注入Authorization标头。 注意:版本0.10.0更改了“标签”顺序,您可能必须重新排序“标签”值。 注意:版本0.14.0将UserPoolId更改为Region,...
github-personal-access-token-generator-cli:从终端创建GitHub个人访问令牌
05-27
使用此个人访问令牌的原因-aka它将用于什么目的? 如果您已为GitHub启用2FA,则需要两个因素的身份验证代码 如果成功,您的个人访问令牌将被复制到剪贴板。 并不是所有的GitHub个人访问令牌选项都可用吗? 是的,...
oauth-client-tokenmanager:用于在客户端授权请求和管理令牌的库
02-21
oauth-client-tokenmanager 描述 用于使用令牌针对OAuth服务器授权请求和管理令牌的库。 图书馆: 是完全线程安全的 支持以下请求: HttpClient,WebClient,HttpWebRequest 有能力服务更多的客户 用.NET ...
spring-custom-token-auth:一个小例子,如何在定制令牌认证使用spring
02-05
在自定义令牌认证,我们通常使用JSON Web Token (JWT) 或者自定义的Token来替代传统的Session管理。 1. **JWT(JSON Web Token)**: JWT是一种轻量级的身份验证机制,用于在各方之间安全地传输信息。它由三部分...
Go-token服务提供token一致性服务以及相关的全局ID生成服务等
08-14
4. **Go语言特性**:Go语言的并发模型(goroutines和channels)、标准库的强大支持,以及轻量级线程(green threads)使得开发这类服务更为高效。例如,可以利用goroutines处理多个并发请求,通过channels实现线程间...
阿里云语音合成获取token-tts.zip
05-22
在本案例,我们关注的是如何利用Unity游戏引擎和C#语言来实现对接阿里云的语音合成Web API,从而获取并使用token进行语音合成。 首先,我们需要理解“获取token”的概念。在API调用token通常作为一种安全凭证...
使用client-go实现对K8S集群资源得CRUD操作及源码分析
fy_long的博客
02-26 5933
1、client-go 介绍 client-go 是一种能够与 Kubernetes 集群通信的客户端,通过它可以对 Kubernetes 集群资源类型进行 CRUD 操作,它有三大 client 类,分别为:Clientset、DynamicClient、RESTClient。通过它,我们可以很方便的对 Kubernetes 集群 API 进行自定义开发,来满足个性化需求。 2、client...
kubernetes client-go
纵横四海的博客
10-15 6188
以下文章为章骏原创,感谢供稿。今天给大家介绍一下如何使用 client-go 来拓展 Kubernetes API,写一个 Kubernetes 的控制器。client-go 是 Kubernetes 官方推出的一个库,方便我们来调用 Kubernetes 的 RESTful API。控制流Overview 首先,控制器需要与 kubernetes apiserver 进行通讯,则需要一个 cli
Client-Go 链接Api-Server报509错误
Standup-jb的博客
10-18 1344
如果使用client-go连接api-server 报x509的错误如下 85178 reflector.go:123] pkg/mod/k8s.io/client-go@v0.16.6/tools/cache/reflector.go:96: Failed to list *v1.Pod: Get https://ip:port/api/v1/namespaces/default/pods?limit=500&resourceVersion=0: x509: certificate sign
华为云平台X-Auth-Token怎么获取
07-08
在华为云平台,要获取X-Auth-Token,您需要进行以下步骤: 1. 使用POST方法向以下URL发送请求:https://iam.huaweicloud.com/v3/auth/tokens 2. 在请求的header设置Content-Type为"application/json;charset=...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值