SpringCloudKubernetes的ServiceAccount配置

最新推荐文章于 2023-02-01 10:42:50 发布
最新推荐文章于 2023-02-01 10:42:50 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: spring-cloud-kubernetes
原文链接:https://blog.csdn.net/u013171997/article/details/91993863
版权

1、报错信息描述

错误信息:

Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namespace "xxx".

报出这个错误,要解决的话,首先你要知道serviceaccount是什么?

serviceaccount也是K8s中的资源对象,例如Pod、Deployment等一样,可以通过yaml定义。

Pod内部环境应用程序在访问Kubernetes的Api Server的时候的权限验证就是通过serviceaccount实现的。

当你创建namespace的时候,会默认为该namespace创建一个名为default的serviceaccount。可以通过命令查看:

kubectl get sa -n 你的namespace

正如报错所示“system:serviceaccount:xxx:default”,这个就是pod内部的用到的默认的serviceaccount,xxx代表你的namespace,default则是namespace的默认serviceaccount名字,前面system:serviceaccount代表k8s中的serviceaccount用户组。

所以这个的错误的信息代表的意思是,pod用namespace默认的serviceaccout是没有权限访问K8s的 API group的。

 
2、解决方法

知道了报错的原因,我们就可以解决这个问题了,那就是创建一个新的serviceaccount绑定到我们的pod上。

而新创建的serviceaccount需要有 API group的权限。说到权限有涉及到新的知识点,就是K8s的授权插件,我这里用的是RBAC,意思就是根据角色来控制权限。

serviceaccount对象代表一个账号,则我们还需要一个role对象和一个role与serviceaccount绑定的rolebinding对象,这些都是RBAC插件提供的资源对象。

举个例子,这个例子可以解决上面的报错,在你的namespace下创建一个拥有K8s集群里最高权限的serviceaccount,可以对任何资源对象操作:

    ---
    apiVersion: rbac.authorization.k8s.io/v1beta1
    kind: ClusterRoleBinding
    metadata:
      name: test #ClusterRoleBinding的名字
    subjects:
      - kind: ServiceAccount
        name: test #serviceaccount资源对象的name
        namespace: test #serviceaccount的namespace
    roleRef:
      kind: ClusterRole
      name: cluster-admin #k8s集群中最高权限的角色
      apiGroup: rbac.authorization.k8s.io
    ---
    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: test # ServiceAccount的名字
      namespace: test # serviceaccount的namespace
      labels:
        app: test #ServiceAccount的标签

然后通过在deployment内设置spec.template.spec.serviceAccountName或者pod的spec.serviceAccountName完成与serviceaccount的绑定。

以上可以解决,但是权限也非常的高。

我们还可以创建一个 ClusterRole,一个ServiceAccount,一个ClusterRoleBinding。(访问集群中所有资源的权限)

或者Role,一个ServiceAccount,一个RoleBinding。(同一个namespace下的资源控制)

ClusterRole制定角色的权限,然后通过ClusterRoleBinding与ServiceAccount绑定起来,做到精细化的权限控制

配置kubernetes中的访问权限

其实这个spring-cloud-kubernetes 项目最终能否部署成功,最大的坑就在这里,首先官方文档对这里的描述介绍简直是惜字如金


如果不仔细看,很容易误会这里对kubernetes api的调用是使用的默认的serviceaccount,其实是需要自定义 角色、用户、和角色绑定的.
另外网上的资料对权限这块都是基于非常简单的default命名空间,如果再换一个自定义的,就不起作用了,所以我在这一步,花费了不少时间,如果不是很了解kubernetes的权限控制,很容易停滞不前

 

spring-cloud-kubernetes项目无非就是帮我们封装了对kubernetes的api的访问,然而kubernetes是有自己的权限控制的,那么spring-cloud-kubernetes 是如何通过对应的权限校验成功调用对应的api的,kubernetes有自己的一套基于权限的角色控制,通过角色、用户、两者的绑定关系这三个api对象,来配置不同用户的的权限,而大部分时候我们在使用k8s,根本不关心这个用户是谁,是因为我们使用了它的内置用户ServiceAccount,所以在实际部署的时候针对不同的环境和业务需求可能需要配置我们自己的角色权限

role

首先要配置角色,它定义了一个权限集合,我们这里配置这个名叫svcdemo的角色,拥有对"pods",“services”,"endpoints"这三个api对象的所有权限

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: mynamespace
  name: svcdemo
rules:
- apiGroups: [""]
  resources: ["pods","services","endpoints"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

ServiceAccount

定义上文中用到的内置用户ServiceAccount,需要在deployment中明确指定

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: mynamespace
  name: svcdemo

角色绑定 

已经定义好了角色和用户,最后需要角色绑定这个api对象,将这两者关联起来,这样我们才能在项目中成功的调用到k8s的api

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: svcdemo
  namespace: mynamespace
subjects:
- kind: ServiceAccount
  name: svcdemo
  namespace: mynamespace
roleRef:
  kind: Role
  name: svcdemo
  apiGroup: rbac.authorization.k8s.io

修改Deployment

apiVersion: apps/v1beta2
kind: Deployment
metadata:
  name: svcdemo
  namespace: mynamespace
spec:
  replicas: 1
  selector:
    matchLabels:
      run: svcdemo
  template:
    metadata:
      labels:
        run: svcdemo
    spec:
    ## 后面有对serviceAccountName进行讲解
      serviceAccountName: svcdemo
 

qingdao666666
关注
专栏目录
Spark on Kubernetes提交测试任务失败报错:User "system:serviceaccount:default:default" cannot get resource "pods
merrily01的博客
11-06 8367
Spark On Kubernetes 通过cluster方式提交spark-submit example.jar包测试任务,driver-pod创建成功,任务失败,driver pod报错日志如下: External scheduler cannot be instantiated Caused by: io.fabric8.kubernetes.client.KubernetesClien...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 3680
错误信息 serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “serviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
gitlab在k8s环境下启动失败
Lento_liu的博客
06-21 578
Forbidden!Configured service account doesn't have access. Service account may have been revoked. User "system:serviceaccount:default:default" cannot get services in the namespace "mycomp-services-process" https://stackoverflow.com/questions/47973570/ku.
k8s部署的jenkins对接k8s集群
m0_55116875的博客
02-01 606
k8s部署的jenkins对接k8s集群
spring cloud kubernetesserviceaccount permisson报错
03-07 817
spring boot项目引用spring-cloud-starter-kubernetes <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-star...
spring cloud kubernetes 学习记录(1):hello world
李天泉
06-10 376
在微服务领域,spring cloud 与 kubernetes 一直被拿来做比较,但实际上,这两者有着不同得定义。 spring cloud : 基于 spring boot 得微服务解决方案,有着完整得微服务生态体系。 kubernetes : 用于跨多个主机管理容器化应用程序,为应用程序的部署,维护和扩展提供基本机制。提供对容器得管理机制。 两者并非是相同、互斥得技术,相反,两者都是微服...
如何使用 Keycloak 的 service account (服务账号) 功能
surfirst的博客
11-29 1621
Keycloak 在解决服务之间的通信的时候可以使用 service account 功能,也就是服务账号。每一个 Keycloak Realm 下的 client 都可以包含一个 service account 账号。这个 service account 账号的概念来自于 OAuth 2.0 的 Client Credential Grant 规范。 ...
20 名词解释 Service Account
邓乐来Jacob的博客
06-29 2654
Service AccountService account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;User account是跨namespace的,而service account则是仅局限它所...
Kubernetes为所有默认的ServiceAccount授权
ch717828的专栏
05-19 3471
环境准备: 创建一个私有的命名空间 mynamespace,创建一个pod,让这个pod使用默认的service account #cat mynamespace.yaml apiVersion: v1 kind: Namespace metadata: name: mynamespace #cat example-pod3.yaml apiVersion: v1 kind: Pod metadata: name: test-default-verbs namespace: mynamesp
kuberneteskubernetes api访问控制、useraccountserviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 3139
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccountserviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
spring-cloud-kubernetes官方demo运行实战
热门推荐
程序员欣宸的博客
06-08 3万+
spring-cloud-kubernetesspringcloud官方推出的开源项目,用于将Spring Cloud和Spring Boot应用运行在kubernetes环境,并且提供了通用的接口来调用kubernetes服务,今天就来初步体验一下。
kubernetes上安装 Jenkins 及常见问题
qq_45897484的博客
10-30 2550
kubernetes上安装 Jenkins 及常见问题 持续集成和部署是DevOps的重要组成部分,Jenkins是一款非常流行的持续集成和部署工具,最近试验了一下Jenkins,发现它是我一段时间以来用过的工具中最复杂的。一个可能的原因是它需要与各种其它工具集成才能完成任务,而集成的方法又各不相同。在这些工具中,Docker是最简单的,真的非常好用。kubernetes比较复杂,开始要花些时间熟悉,但它的整体设计十分合理,一旦搞清核心概念,掌握脉络之后,就非常顺利。它的命令格式即规范又统一,使得有些命
wampserver Forbidden You don't have permission to access / on this server.
Bloxed_shangyc的博客
10-24 3169
1、打开apache配置文件 \wamp\bin\apache\apache2.4.9\conf\httpd.conf 修改1.找到如图位置(修改后) onlineoffline tag - don't remove Order Deny,Allow Allow from all Allow from 127.0.0.1 修改2. &lt;Directory /&...
api k8s restful 创建pods_04 Jenkins Kubernetes插件动态创建slave agent
weixin_39655160的博客
01-06 184
完成03 Jenkins master安装(在Kubernetes平台上)的Jenkins master安装后,我们现在可以使用China-jenkins-config配置Jenkins的Jenkins Kubernetes插件了。Jenkins Kubernetes使用场景当我们有很多不同的team,每个team的Jenkins任务依赖不同的环境,比如team1需要maven环境,team2是r...
kinit 某个账户,提示 Clients credentials have been revoked
SunWuKong_Hadoop的博客
11-10 5678
人机账户输入错误密码次数过多账号被锁的解决方法 1、先判断是否存在账户被锁。 输入kinit 用户名。如果包含如下提示: kinit: Clients credentials have been revoked while getting initial credentials 可能是账户被锁 2、登陆kadmin后台管理控制台 kadmin -p kadmin/admin 默认密码Ad...
kubernetes:pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods”
feiger的专栏
09-25 2万+
背景: 在gitlib-ci 对接kubernetes的时候报错: ERROR: Job failed (system failure): pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods” in API group “” in the namespace “dev” ...
kubernetes 创建 ServiceAccount
weweeeeeeee的博客
08-23 3560
创建用户示例 本示例将通过告诉大家如何通过kubernetesService Account机制,生成一个管理员账号并通过 Token方式登录进入Dashboard。 首先新建admin-user.yaml文件,在文件中添加一下内容: apiVersion: v1 kind: ServiceAccount metadata: name: admin-...
ServiceAccount创建
最新发布
06-01
要创建一个 Service Account, 你需要先登录到 Google Cloud Console,并打开你的项目。 接下来,你需要完成以下步骤: 1. 打开左侧导航菜单,选择 "IAM & Admin",然后选择 "Service Accounts" 选项卡。 2. 点击 "Create Service Account" 按钮。 3. 输入 Service Account 的名称,并选择一个 Service Account ID。Service Account ID 是 Service Account 的唯一标识符,它将用于在代码中引用 Service Account。 4. 选择一个角色,以授予 Service Account 所需的权限。例如,你可以选择 "Project" > "Editor" 角色,以授予 Service Account 在整个项目中具有编辑权限。 5. 在 "Create Key" 部分,选择一个密钥类型,然后点击 "Create" 按钮。这将创建一个 JSON 文件,其中包含 Service Account 的私钥和其他详细信息。 6. 将此 JSON 文件下载到你的本地计算机,以便在代码中使用该 Service Account。 请注意,为了保护你的项目和数据安全,你应该仅为 Service Account 授予最低权限,使其能够完成其所需的任务,而不授予不必要的权限。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值