Kubernetes ---- API Server认证、配置文件、自定义用户连接API Server

最新推荐文章于 2024-07-23 14:11:52 发布
最新推荐文章于 2024-07-23 14:11:52 发布
阅读量1.8k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaikai0720/article/details/106936079
版权

客户端请求API Server过程

客户端 --> API Server(识别用户是否有通过api server执行操作的权限)
  api Server识别内容:
    user: username,uid
    group: 用户组
    extra: 字段,提供额外信息

 

客户端请求的API(Request Path):
例如客户端对一个k8s集群中的名为myapp-deploy的deployment的资源发起请求,地址为下,成功的话则可进行增删改查;
  http://192.168.133.128:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy

  注释:
    192.168.222.100: master地址
    6443: API server端口
    apis: 固定入口(除核心群组(/api/v1/)外)
    apps: app组
    v1: 组版本
    namespaces: 名称空间级别
    default: 名称空间的名称
    deployments: 访问deployment资源
    myapp-deploy: deployment名称

请求操作(action):
  http的方法请求:
    get
    post
    put
    delete
  k8s请求动作:
    增: create
    删: delete,deletecollection(删除一个集合)
    改: edit,patch
    查: get,list,watch(-w)

API Server是整个访问请求进入的网关接口,请求过程中
  认证用于实现身份识别;
  授权用于实现权限检查,检查用户是否拥有对资源执行各种k8s请求动作;
  准入控制机制用来进一步补充授权机制,创建、删除、修改时需要;


k8s集群有两类认证时的认证账号:
1. useraccount
2. serviceaccount

访问API Server的客户端分为以下两类:
  1. 集群之外的客户端访问节点地址进行通信;
  2. 集群内部的Pod等,使用API Server在集群内的地址(kubectl get svc(kubernetes这个svc),将集群外部地址引入到集群内部供内部组件使用;

  # 经过查看某一个Pod的详细信息发现Pod会自动拥有一个Volumes,这个Volumes的名称叫做"default-token-ppzsj"也就是令牌,这就是Pod连接API Server的认证信息,通过secret来定义,并以存储卷的方式关联到Pod上,
使Pod内的运行的应用通过对应的secret中保存的认证信息连接API Server来完成认证的;

$ kubectl describe pod deploy-demo-854b57c687-f7txr
....
Volumes:
default-token-ppzsj:
Type: Secret (a volume populated by a Secret)
SecretName: default-token-ppzsj
Optional: false
QoS Class: BestEffort
Node-Selectors: <none>
Tolerations: node.kubernetes.io/not-ready:NoExecute for 300s
node.kubernetes.io/unreachable:NoExecute for 300s
....

# 经查,发现每个名称空间下都会有一个默认的secret(default-token-ppzsj)

$ kubectl get secret
NAME             TYPE               DATA   AGE
default-token-ppzsj kubernetes.io/service-account-token 3   26d

创建Pod与API Server通信的serviceaccount(与权限无关,仅认证):

# 首先查看系统上已有的serviceaccount;
$ kubectl get serviceaccount
NAME     SECRETS    AGE
default     1       26d

# 直接使用create创建一个名为admin的sa;
$ kubectl create sa admin

# 再次查询,发现创建成功;
$ kubectl get sa
NAME   SECRETS   AGE
admin     1      84s
default   1      26d

# 查看sa的详细信息,发现了名为"admin-token-pfp5j"的secret;
$ kubectl describe sa admin
Name: admin
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: <none>
Mountable secrets: admin-token-pfp5j
Tokens: admin-token-pfp5j
Events: <none>

# 查看secret,发现刚创建的sa自动创建了一个"admin-token-pfp5j"secret;
$ kubectl get secret
NAME               TYPE               DATA   AGE
admin-token-pfp5j kubernetes.io/service-account-token    3   2m32s
default-token-ppzsj kubernetes.io/service-account-token   3   26d

# 创建Pod使用新创建的sa;
$ vim pod-sa.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-sa
  namespace: default
spec:
  containers:
  - name: sa-container
    image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - name: http
      containerPort: 80
  # 自定义serviceaccount的名称
  serviceAccountName: admin

$ kubectl apply -f pod-sa.yaml

# 查看详细信息发现默认自带的volumes中的名称变为了"admin-token-pfp5j"也就是我们刚创建sa后,集群自动帮我们创建的secret;
$ kubectl describe pods pod-sa
....
Volumes:
admin-token-pfp5j:
Type: Secret (a volume populated by a Secret)
SecretName: admin-token-pfp5j
Optional: false
QoS Class: BestEffort
Node-Selectors: <none>
Tolerations: node.kubernetes.io/not-ready:NoExecute for 300s
node.kubernetes.io/unreachable:NoExecute for 300s
....

 

配置文件连接API Server:
  API Server的客户端在认证时,如果我们要基于配置文件来保存客户端的认证信息,就要配置个配置文件,k8s集群中的所有组件,除API Server外都需要连接至API Server,都需要被API Server认证
每一个组件为了能够连入正确的集群,提供正确的账号、证书、私钥等认证信息,需要将这些信息保存为配置文件(kubeconfig),也就是API Server的客户端连入API Server时使用的认证格式的配置文件;

# 查看配置
$ kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://192.168.133.128:6443
name: kubernetes
contexts:
- context:
cluster: kubernetes
user: kubernetes-admin
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
user:
client-certificate-data: REDACTED
client-key-data: REDACTED

注释:
  clusters: 集群列表,可以包含多个集群
  certificate-authority-data: 认证方式
  server: API Server路径
  name: 集群名称
  users: 用户列表
  name: 用户账号名
  client-certificate-data: 客户端证书
  client-key-data: 客户端私钥
  contexts: 上下文列表,一个上下文用来指明哪个账号管理哪个集群;
  cluster: 访问哪个集群
  user: 使用哪个用户
  name: 给上下文取名
  current-context: 当前上下文,当前使用哪个账号管理哪个集群;

由于客户端连入API Server要做双向认证,所以可以去"/etc/kubernetes/pki"目录下找到各种key、ca;

 

创建新账号来连接API Server

# cd /etc/kubernetes/pki
# (umask 077; openssl genrsa -out kfree.key 2048)
# openssl req -new -key kfree.key -out kfree.csr -subj "/CN=kfree"
# openssl x509 -req -in kfree.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out kfree.crt -days 365
# su - kubeadm
$ kubectl config set-credentials kfree --client-certificate=/etc/kubernetes/pki/kfree.crt --client-key=/etc/kubernetes/pki/kfree.key
$ kubectl config set-context kfree@kubernetes --cluster=kubernetes --user=kfree
$ kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://192.168.133.128:6443
name: kubernetes
contexts:
- context:
cluster: kubernetes
user: kfree
name: kfree@kubernetes
- context:
cluster: kubernetes
user: kubernetes-admin
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kfree
user:
client-certificate: /etc/kubernetes/pki/kfree.crt
client-key: /etc/kubernetes/pki/kfree.key
- name: kubernetes-admin
user:
client-certificate-data: REDACTED
client-key-data: REDACTED

$ kubectl config use-context kfree@kubernetes
# 因为我们只处理了认证,没有授予权限,所以没有权限的;
$ kubectl get pods
Error from server (Forbidden): pods is forbidden: User "kfree" cannot list resource "pods" in API group "" in the namespace "default"

 

K-free
关注
kube-apiserver配置详情
隔壁老瓦的专栏
10-25 1426
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
Kube-API Server
邓乐来Jacob的博客
07-01 921
概要Kubernetes API服务器为API对象验证和配置数据,这些对象包含Pod,Service,ReplicationController等等。API Server提供REST操作以及前端到集群的共享状态,所有其它组件可以通过这些共享状态交互。kube-apiserver选项–admission-control=”AlwaysAdmit”:集群中资源的Admission Controller...
Kubernetes核心原理(一)之API Server
热门推荐
胡伟煌的博客
07-21 1万+
1. API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通
【转载】nodePort: Invalid value valid ports is 30000-32767
jstang的博客
09-05 5580
原文链接:https://blog.csdn.net/wljk506/article/details/91869648 kubernetes 版本 1.14.3 provided port is not in the valid range. The range of valid ports is 30000-32767 在 Kubernetes(k8s) 创建 service 使用nodePor...
k8s用ServiceAccount Token的方式访问apiserver
海鸥
04-15 2888
kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki/(ca.crt / apiserver.crt / apiserver.key) 下面。 # serverapiserver公网访问地址 curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https://$server/api 这里再介绍一下使用ServiceAccount T
apiserver静态配置文件认证
python基础
11-28 164
apiserver
kubernetes-server-linux-amd64.tar
01-17
在实际应用中,"kubernetes-server-linux-amd64.tar"的部署并不止于基本的安装,还包括配置自定义的存储解决方案(如持久卷)、服务发现、负载均衡、自动扩展、安全策略等。Kubernetes的生态系统丰富,包括Ingress、...
kubernetes-v1.16.2-server-linux-amd64.tar.gz
12-15
通过下载"**kubernetes-v1.16.2-server-linux-amd64.tar.gz**"这个压缩包,我们可以获取到k8s的核心组件,包括kube-apiserver、kube-controller-manager、kube-scheduler、kubelet和kube-proxy等。这些二进制文件...
kubernetes-server-linux-amd64.tar.gz
11-29
从压缩包的文件名称列表来看,这里只有一个名为"kubernetes"的条目,这可能是整个Kubernetes服务器组件的集合,包括API服务器、控制器管理器、调度器等核心组件的可执行文件,以及必要的配置文件和脚本。安装和运行...
kubernetes-server-linux-amd64-v1.18.20.tar.gz
10-06
用户可以通过解压这个tar.gz文件,然后按照官方文档指导配置和启动这些二进制文件,来搭建或升级一个Kubernetes集群。 3. **增强的安全性**:每个新版本都会修复已知的安全漏洞。v1.18.20也不例外,它对身份验证、...
Api-server.zip
09-18
Api-server.zip,一个简单的服务器,用于实时发送和接收每个websocket的消息。(包括一个流畅的web用户界面)gotify/server,一个api可以被认为是多个软件设备之间通信的指导手册。例如,api可用于web应用程序之间的数据库通信。通过提取实现并将数据放弃到对象中,api简化了编程。
apiserver架构说明
09-28
项目的apiserver架构图。使用visio画的图。不够全面,后续持续更新。
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 634
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
K8s 核心组件——API Server
最新发布
谦虚使人发胖的博客
07-23 2121
Kubernetes API ServerAPI Server)是 Kubernetes 的核心组件之一,负责暴露 Kubernetes API用户和客户端,接收和处理来自客户端的请求,并将其存储到 etcd 中。Kubernetes API Server 主要作用是提供 Kubernetes 各类资源对象(如 Pod、Deployment、Service等)的增、删、改、查及 Watch 等 HTTP REST 接口,是集群内各个功能模块直接数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。
【云原生 · Kubernetes】部署kube-apiserver集群
念舒C.ying
09-06 1471
advertise-address :apiserver 对外通告的 I(kubernetes 服务后端节点 IP);default-*-toleration-seconds :设置节点异常相关的阈值;- max-*-requests-inflight :请求相关的最大阈值; - etcd-* :访问 etcd 的证书和 etcd 服务器地址; - bind-address : https 监听的 IP,不能为 127.0.0.1 ,否则外界不能访问它的安全端口 5443;- secret-po
【云原生训练营】模块六 Kubernetes 控制平面组件:API Server
果子哥丶的博客
05-21 504
kube-apiserverKubernetes最重要的核心组件之一,主要提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等,提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd)属于通信枢纽,各个k8s模块交互中心。Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括 认证、授权以及准入控制(Admission C
API Server简介
u010453704的博客
12-05 1万+
API Server简介 一、API Server简介 1.1 API Server功能 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 1. 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 2. 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只.
kubernetes 简介:API Server 简介
天使之翼
02-22 1268
简介这篇文章是整个系统的第二篇,上一篇文章讲解了 kubelet 的功能和使用。在 kubernetes 集群中,API Server 有着非常重要的角色。API Server 负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),是整个 kubernetes 集群的数据中心,所有的交互都是以 API Server 为核心的。简单来说,API Server
api-server、etcd、scheduler、controller 配置文件
喝醉酒的小白
02-09 473
/etc/kubernetes/manifests
io.fabric8 kubernetes-client 如何集成springboot
06-08
其中,masterUrl 指定了 Kubernetes API Server地址,namespace 指定了要操作的 Kubernetes 命名空间,authToken 指定了访问 Kubernetes API Server认证令牌。 3. 在 Spring Boot 应用程序中,注入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值