kube-apiserver认证机制下

已于 2022-07-03 21:08:24 修改
阅读量673 收藏 1
点赞数
分类专栏: 云原生 文章标签: 云原生
于 2022-05-16 15:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaotl/article/details/124796072
版权

前面演示了如何通过静态token和x509的方式完成认证,接着看看如何集成外部认证服务完成kube-apiserver的认证。如果k8s需要链接外部认证服务,那么认证服务需要满足Kubenetes的规范,即认证接口的URL=https://authservice/authenticate,Method=POST,Input格式如下所示

{"apiVersion":"authentication.k8s.io/v1beta1",
"kind":"TokenReview",
"spec":{
    "token": "tokenvalue"
}}

当认证服务满足上面的规范后,kube-apiserver是如何对接外部认证服务完成认证的呢?下面将以github代替真正的认证为例子给大家演示认证过程.(备注:github上生成token,当把token发送到github后,github可以返回token认证是否成功的信息),具体的认证过程如下所示

为了演示如何通过webhook完成认证,首先需要创建webhook服务,并在本地启动它,具体webhook服务的代码请看这里。 这里的makefile配置的操作系统是Linux,如果是mac电脑,需要修改makefile中“GOOS=darwin”。该webhook的服务大致的作用是将APIServer发送过来的请求进行decode,如果decode成功则把信息转发给认证服务(这里用的github,因为github上可以生成token,然后完成认证的功能,实际项目中应该是转发到企业的认证服务上)。github认证完成后,返回认证结果信息,webhook将认证结果信息返回给apiserver。

webhook服务在本地启动后,可以访问3000端口checkwebhook服务是否启动成功。

在github上生成一个token,然后通过api访问webhook服务,可以看到返回了认证成功的消息,说明webhook服务正确启动了。

webhook服务启动后,如何让APIServer把请求转发到webhook呢?这里就需要先创建webhook-config.json文件,具体内容如下,可以看到下面的api对象是一个Config对象,这里最主要的是server信息配置,这里的IP地址是本机的IP地址,因为上面的webhook服务启动后是监听3000端口,所以这里server地址是http://xxx:3000/authenticate.

{
  "kind": "Config",
  "apiVersion": "v1",
  "preferences": {},
  "clusters": [
    {
      "name": "github-authn",
      "cluster": {
        "server": "http://xx.xx.xx.xx:3000/authenticate"
      }
    }
  ],
  "users": [
    {
      "name": "authn-apiserver",
      "user": {
        "token": "secret"
      }
    }
  ],
  "contexts": [
    {
      "name": "webhook",
      "context": {
        "cluster": "github-authn",
        "user": "authn-apiserver"
      }
    }
  ],
  "current-context": "webhook"
}

接着,将该文件存放到集群中的/etc/config目录下,然后修改/etc/kubernetes/manifests/kube-apiserver.yaml,增加webhook-config的配置。

修改kube-apiserver.yaml文件后,kube-apiserver会自动重启,执行“kubectl get pod”能正常返回信息则重启成功,如果提示localhost:xxx:6443 connect refuse,说明kube-apiserver重启失败,需要检查kube-apiserver.yaml文件配置是否正确。

kube-apiserver.yaml文件修改成功后,接着在github上生成一个token.

修改~/.kube/config文件,新增一个user,且user的token是刚刚在github生成的token

此时,用githubuser获取pod信息,会返回403的信息,说明认证已经通过,只是该用户无权限访问pod资源而已。指定用户获取pod信息的命令:kubectl get po --user githubuser。

以上就是通过集成外部认证服务完成kube-apiserver认证的过程。

taoli-qiao
关注
专栏目录
kube-apiserver.rar
01-09
kube-apiserverKubernetes集群的核心支柱》 在Kubernetes(简称k8s)这个强大的容器编排系统中,kube-apiserver是整个生态系统的心脏,它是k8s集群的关键组件,负责处理所有的API请求,提供集群状态的存储,并...
k8s之apiserver
fourierr的博客
02-12 2685
k8s之apiserver
k8s证书升级
weixin_45290734的博客
06-21 1388
k8s升级证书步骤 ####自己笔记记录#### k8s 集群中基础服务的证书默认的是一年,如果证书过期,会导致APIserver服务不可用,需要更新证书,以下为证书更新步骤: 查看证书过期时间:openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ’ 步骤 查看证书是否过期 > 1.4 时候,才可以用这个方法 kubeadm alpha certs check-expiration < 1.4 时
删除secret&重启kube-apiserver
最新发布
喝醉酒的小白
08-20 218
【代码】删除secret&重启kube-apiserver
kube-apiserver 启动流程
Lemon熊的博客
01-09 1222
kube-apiserver组件启动后的第一件事情是将Kubernetes所支持的资源注册到Scheme资源注册表中,这样后面启动的逻辑才能够从Scheme资源注册表中拿到资源信息并启动和运行APIExtensionsServerKubeAPIServer、AggregatorServer这3种服务。函数中为资源注册对应的Handlers方法(即资源存储对象Resource Storage) ,完成资源与资源Handlers方法的绑定并为go-restful WebService添加该路由。
k8s apiserver之启动执行流程总览一
qq_36407557的博客
06-16 1142
apiserver之启动执行流程总览 启动执行流程总览apiserver之启动执行流程总览启动执行流程总览server.go 启动执行流程总览 本文主要分析kubernetes在启动kube-apiserver的执行流程,本文不作深入分析,后续会展开 server.go 函数 // 启动命令行的实现 func NewAPIServerCommand() *cobra.Command { // 设置默认的apiserver启动选项 s := options.NewServerRunOpti
kube-apiserver认证机制
qiaotl的博客
05-16 1095
介绍k8s内置的静态token认证、x509认证、serviceAccount认证
rik:Rust In Kube-基于rustlang的云协调器
04-09
1. **API Server**: 类似于Kubernetes的原生API服务器,用于处理RESTful请求,创建、更新和删除资源对象。 2. **etcd客户端**: Rust实现的etcd客户端,etcd是Kubernetes用于存储和同步集群状态的分布式键值存储。这...
kubesphere-api-doc
02-07
KubernetesSphere 支持多种认证机制,包括kubeconfig文件、ServiceAccount以及OpenID Connect等。对于JavaScript应用,通常会将Token存储在本地,并在请求头中添加Authorization字段,如`Authorization: Bearer ...
2、Kubernetes 集群安全 - 认证1
08-04
ServiceAccount是解决Pod访问API Server认证问题的特殊机制。每个Pod可以关联一个ServiceAccount,其中包含一个Token、ca.crt和namespace信息。Token是由API Server私钥签名的JSON Web Token(JWT),用于API Server...
Kubernetes中的证书工作机制详解
11-29
1. API Server 证书:用于 kube-apiserver,让其他组件能够验证其身份。 2. ETCD 证书:用于 etcd,确保数据存储的安全。 3. 工作节点证书:包括 kubelet 和 kube-proxy 的证书,确保节点与 API Server 的安全通信。...
kubesphere-system 命名空间中的 ks-apiserver 服务
weixin_36873225的博客
02-27 685
通过这些步骤,你可以优雅地重启 ks-apiserver,并将其副本数设置为1。请注意,如果你使用的是 KubeSphere,重启 API 服务可能会导致 KubeSphere UI 短暂不可用。确保在执行这些操作之前,已经备份了关键数据。重启 kubesphere-system 命名空间中的 ks-apiserver 服务,并将其副本数设置为1。
重启linux后,k8s的kube-apiserver无法正常启动的问题
热门推荐
舒星河的博客
04-01 1万+
重启linux后,k8s的kube-apiserver无法正常启动的问题: 请教老师后,留作参考 首先确认 1.防火墙已经关闭 2.selinux设置disabled完成 3.docker启动正常 4.kubelet运行状态active 5.docker images存在所需镜像 问题描述: 之前使用正常,重启后,kube-apiserver无法启动: 原因分析: 1.master端kubectl get nodes提示: The connection to the server x.x.x.x
kubeadmin kube-apiserver Exited 始终起不来查因记录
l434的博客
02-16 2326
kubeadmin
k8s 身份验证
discsthnew的博客
03-24 4518
译自官方文档: https://kubernetes.io/docs/admin/authentication/#users-in-kubernetes Users in Kubernetes 认证策略 X509 客户端证书 Static Token File 使用token请求 Bootstrap Tokens 静态密码文件 Service Account Tokens OpenID ...
k8s集群部署时etcd容器不停重启问题及处理
逗小豆zz的博客
12-21 5654
在安装部署版本时,通过kubeadm初始化集群后,发现执行kubectl查看kubelet状态是否正常,发现无法连接apiserver的6443端口。进而查看apiserver容器的状态,由于是基于containerd作为容器运行时,此时kubectl不可用的情况下,使用命令可以查看所有容器的情况。发现此时容器已经退出,查看容器日志是否有异常信息。通过日志信息发现是无法连接etcd的2379端口,那么问题应该是出在etcd了。此时etcd容器也在不断地重启,查看其日志发现没有错误级别的信息。
Kubernetes_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 1795
四个静态Pod Yaml文件解析
k8s.gcr.io/kube-apiserver
04-29
kube-apiserver还提供了各种身份认证和授权机制,以确保客户端的请求能够被正确地处理,并保障Kubernetes集群的安全性和稳定性。此外,kube-apiserver还提供了扩展性插件机制,可以通过使用插件,对API Server的行为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

taoli-qiao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值