解决:拉取k8s服务列表时token过期 + 创建serviceaccount

已于 2024-01-19 14:18:04 修改
阅读量259 收藏
点赞数
分类专栏: Docker|K8s|SpringCloud 文章标签: kubernetes
于 2023-05-09 13:26:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43542296/article/details/130575604
版权

目录

1.gateway中拉取k8s服务列表

1.1拉取k8s服务列表

1.2token过期报错401

2.解决

创建某namespace的serviceaccount、创建clusterrolebinding绑定该namespace的serviceaccount到clusterrole

1.gateway中拉取k8s服务列表

1.1拉取k8s服务列表

import io.kubernetes.client.openapi.ApiClient;
import io.kubernetes.client.util.ClientBuilder;
import io.kubernetes.client.util.credentials.AccessTokenAuthentication;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.cloud.kubernetes.client.KubernetesClientUtils;
import org.springframework.cloud.kubernetes.commons.KubernetesClientProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.env.Environment;

import javax.xml.bind.DatatypeConverter;

@Configuration
// @EnableConfigurationProperties(CustomKubernetesClientProperties.class)
// @AutoConfigureAfter(CustomKubernetesClientProperties.class)
public class K8SConfig {

  private final Logger logger = LoggerFactory.getLogger(K8SConfig.class);

  /**
   * 覆盖spring cloud kubernetes默认apiclient,以支持开发环境运行
   *
   * @param properties
   * @param environment
   * @return
   */
  @Bean
  public ApiClient apiClient(KubernetesClientProperties properties, Environment environment) {
    ApiClient apiClient = null;
    // 判断是集群内部环境,使用默认的集群内部加载方式
    if (environment.containsProperty("KUBERNETES_SERVICE_HOST")) {
      logger.info("now in cluster environment");
      apiClient = KubernetesClientUtils.kubernetesApiClient();
      apiClient.setUserAgent(properties.getUserAgent());
    }
    // 如果不是集群内部环境(主要为开发和测试用,生产环境不用)
    else {
      logger.info("now in dev environment");
      // TODO
      // 目前在启用spring cloud k8s(spring.cloud.kubernetes.enabled=true)的情况下用
      // @Value和@ConfigurationProperties都无法注入属性,所以暂时用environment.getProperty获取配置参数
      String masterUrl = environment.getProperty("spring.cloud.kubernetes.client.master-url");
      String token = environment.getProperty("spring.cloud.kubernetes.client.oauth-token");
      String caCertData = environment.getProperty("spring.cloud.kubernetes.client.ca-cert-data");
      if (StringUtils.isEmpty(masterUrl) || StringUtils.isEmpty(token) || StringUtils.isEmpty(caCertData)) {
        logger.error("k8s client config error");
        throw new RuntimeException("k8s client config error");
      }
      //手动设置集群管理地址、令牌和证书内容
      apiClient = new ClientBuilder().setBasePath(masterUrl).setVerifyingSsl(true)
              .setAuthentication(new AccessTokenAuthentication(token))
              .setCertificateAuthority(DatatypeConverter.parseBase64Binary(caCertData)).build();
    }

    return apiClient;
  }

}

1.2token过期报错401

2.解决

参考文章:k8s api 接口 401_k8s 401_xiangzilong的博客-CSDN博客

想直接调用https的,没有token就会

[root@k8s-master1 ~]#  curl https://10.1.234.100:6443/api/v1/namespaces/default/pods --insecure
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403

加token 访问401,被拒绝(token过期

curl -k -H 'Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJhbGciOiJSUzI1NiIsImtpZCI6IlZ1a3JfUFhsNm45UU94QXV5ZElQNXlmOXZaZ0s1N2wxZjZsa0RiQXhSTncifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi10b2tlbi1tbmg4NCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJhZG1pbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjAyYWZmZmIyLTE0OWItNDQxNC05YmEwLWEzN2NlMWI4M2NhMSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTphZG1pbiJ9.u9a5TZxUKmsGx2UYYiQjEE730Jga7XZJo0F3RV_l6GDDygUmwvDHxxKwEJTjMkbBIgWpNwNJARpILzCJXU9HzfXuM80ksdalzurP8GiE7ukZ1aazPxUvQB0qaBx3g0jKcIZo2qsNTXayyL_GeXP9XTS634o18ekARBA5mI1Z2LHlgmk8zeewGy5DNVvWogWVGPu8SRCeHDMZg9HeK6xHxUeeAUrTpg_2VbWApoaoh9CYlT7IairqHcKtC6SCcMx8DoNPPd9M7MWBFV60swQ9Wi5M1l1RaQXSOX13w_aOlPSBGG_HXRxPY9QQ9YmbHvlLC7bZhh_X8Za0JOPwVoEm6Q.aMzef7qssxhFCkKHYFX99XBCkA_lnpKQhBvWPJ_AEsg89HUJ9cgYs2M7VRQJ2KcsG1BndSW0Ne-yLdsXFGDMaIRF58Rz02V99ViqAH8W86UZqcgARlw6DbYtpyHx2LZp4_HbrOy0xHJXGOx0FzwbCNJR5TE5LAZWx2Q5WowuxzdIhpkr15tn9UTZB0i2VXyANG3D6xyf1M67ojav59eC04qWu3ZuFC2GgngHGbZ1qnP55UnFTHWdFtHAzU5qAX7jrWJAOBdSPXwoxC9XTIBoL2umQk2XQN-OsBnQ_saXXLPe2cdpKdoboJCZgcUfO-5D94KO-5P8wNVhGWubNutvug' https://10.1.234.100:6443/api
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "Unauthorized",
  "reason": "Unauthorized",
  "code": 401

查看权限

[root@k8s-master1 ~]# kubectl get clusterrole cluster-admin -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2021-03-02T16:08:01Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "45"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/cluster-admin
  uid: f58d218f-447e-4e04-9161-89c094782480
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

可能这个用户的权限问题,创建admin用户测试

#创建用户
kubectl create serviceaccount admin -n kube-system
 
#用户授权
kubectl create clusterrolebinding admin --clusterrole=cluster-admin --serviceaccount=kube-system:admin
 
#查看token
kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret | awk '/admin/{print $1}')

用新token就可以访问了

[root@k8s-master1 ~]# curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IlZ1a3JfUFhsNm45UU94QXV5ZElQNXlmOXZaZ0s1N2wxZjZsa0RiQXhSTncifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pbi10b2tlbi1tbmg4NCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJhZG1pbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjAyYWZmZmIyLTE0OWItNDQxNC05YmEwLWEzN2NlMWI4M2NhMSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTphZG1pbiJ9.u9a5TZxUKmsGx2UYYiQjEE730Jga7XZJo0F3RV_l6GDDygUmwvDHxxKwEJTjMkbBIgWpNwNJARpILzCJXU9HzfXuM80ksdalzurP8GiE7ukZ1aazPxUvQB0qaBx3g0jKcIZo2qsNTXayyL_GeXP9XTS634o18ekARBA5mI1Z2LHlgmk8zeewGy5DNVvWogWVGPu8SRCeHDMZg9HeK6xHxUeeAUrTpg_2VbWApoaoh9CYlT7IairqHcKtC6SCcMx8DoNPPd9M7MWBFV60swQ9Wi5M1l1RaQXSOX13w_aOlPSBGG_HXRxPY9QQ9YmbHvlLC7bZhh_X8Za0JOPwVoEm6Q" -k https://10.1.234.100:6443/api/v1/namespaces/default/pods
{
  "kind": "PodList",
  "apiVersion": "v1",
  "metadata": {
    "selfLink": "/api/v1/namespaces/default/pods",
    "resourceVersion": "323430"
  },
  "items": []

创建某namespace的serviceaccount、创建clusterrolebinding绑定该namespace的serviceaccount到clusterrole

kubectl create serviceaccount plm-system-admin -n plm-system


kubectl delete serviceaccount plm-system-admin -n plm-system
kubectl create clusterrolebinding plm-system-admin-clusterrolebinding-cluster-admin --clusterrole=cluster-admin --serviceaccount=plm-system:plm-system-admin


kubectl delete clusterrolebinding plm-system-admin-clusterrolebinding-cluster-admin

 kubectl describe serviceaccount plm-system-admin -n plm-system

 kubectl get serviceaccount -n plm-system

kubectl get rolebindings,clusterrolebindings \
--all-namespaces  \
-o custom-columns='KIND:kind,NAMESPACE:metadata.namespace,NAME:metadata.name,SERVICE_ACCOUNTS:subjects[?(@.kind=="ServiceAccount")].name'

非情剑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account创建则需要极轻量级的实现
K8S中Prometheus+Grafana监控
最新发布
05-23
Prometheus是一个开源的序数据收集和分析系统,它能够通过拉取方式从各种服务中收集指标,包括K8S的各种组件,如Pods、Nodes、Services等。Prometheus的核心特性包括: 1. **目标发现(Target Discovery)**:...
K8S 学习笔记四 token过期处理 dashboard部署 deployment
BogerPeng的博客
07-06 1832
K8S 学习笔记四 token过期处理 dashboard部署 deployment 笔记记录尚硅谷老师的视频课 地址:https://www.bilibili.com/video/BV13Q4y1C7hS?p=39&vd_source=468c9dc64fa1f1c115ccfcff4b316262
Kubernetesk8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
罗斯洛夫韩
04-15 948
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
k8sservice account token
fengcai_ke的博客
07-11 2081
k8s sa token
k8sServiceAccount Token的方式访问apiserver
海鸥
04-15 2594
kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki/(ca.crt / apiserver.crt / apiserver.key) 下面。 # server是apiserver公网访问地址 curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https://$server/api 这里再介绍一下使用ServiceAccount T
蓝易云:配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
高性价比服务器就选:蓝易云
10-15 468
首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到ServiceAccount上。现在,你已经成功配置了一个拥有管理员权限的ServiceAccount,并获取了它的TokenServiceAccountToken是用于身份验证的凭证。注意:ServiceAccountToken具有管理员权限,因此请妥善保管和使用。字段的那一行,后面的长字符串就是ServiceAccountToken
K8S Dashboard登录Token过期问题处理
crabdave的博客
01-03 1116
K8S Dashboard登录Token过期问题处理
使用Microk8s快速创建k8s集群
01-26
使用Microk8s快速创建k8s集群 在本篇文章中,我们将学习如何使用Microk8s快速创建k8s集群,Microk8s是一个轻量级的Kubernetes发行版,非常适合开发、测试和学习环境。下面是详细的步骤和知识点: 1. 准备环境 在...
ansible-role-k8s_manifests:Ansible角色-K8s清单
01-31
【Ansible角色-K8s清单】是用于自动化部署和管理KubernetesK8s)集群中清单文件(manifests)的工具。Ansible是一个强大的IT自动化框架,它允许管理员通过编写简洁的YAML代码来执行配置管理、应用部署、任务自动化...
k8s+prometheus+grafana.zip
06-08
在容器化领域,Kubernetes(简称k8s)已经成为管理和部署微服务应用的标准平台,而Prometheus和Grafana则是广泛使用的监控解决方案。这个“k8s+prometheus+grafana.zip”压缩包包含了实现Kubernetes集群监控所需的...
镜像 k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2
04-22
k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2 被墙无法pull,使用nfs方式提供k8s PVC必须的镜像包。 本人小水管拉下来的,拿走不谢。 使用方法: #解压 tar -xvf k8s.gcr.io_sig-storage_nfs-...
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 4659
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
解决K8S Token过期的问题
运维@小兵的博客
09-16 2729
由于我是用kubeadm搭建的K8s集群,kubeadm创建Token的默认有效期为24小,因此24小后会失效,导致kubectl命令不能使用 一、解决办法 1.1创建永久token kubeadm token create --ttl 0 kubeadm token list 1.2.过一会Kubectl命令就可以用了,其中原理未知 ...
kubeadm安装的k8s,证书过期了怎么办?
qq_50119948的博客
05-06 1832
. 问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。 我们可以在过期之前或之后,
k8s中的 secret token
weixin_42072280的博客
05-07 3284
生成kubernetes集群最高权限admin用户的token kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: admin annotations: rbac.authorization.kubernetes.io/autoupdate: "true" roleRef: kind: ClusterRole name: cluster-admin apiGr
k8s使用token连接集群
运维求生之路
02-23 1174
创建dashboard-admin SA并绑定ClusterRole:cluster-admin apiVersion: v1 kind: ServiceAccount metadata: name: dashboard-admin namespace: kube-system --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: dashboard-admin subjects
K8S Token的处理
一无是处的靓仔
10-22 632
一、查看是否过期 root@ali005:~# kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION abcdef.0123456789abcdef 9h 2020-0...
通过curl访问k8s集群获取证书或token的方式
码农崛起
01-22 2047
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。• 资源操作方法:get,list,create,update,patch,watch,delete。创建k8s的用户,用户分为普通用户和serviceAccount用户。serviceAccount:内部集群资源直接访问的用户。
svn拉取项目_基于K8S+SVN+Jenkins+Maven+Harbor的DevOps
05-14
好的,svn拉取项目的步骤如下: 1. 安装svn客户端:在本地电脑上安装svn...以上是svn拉取项目的基本步骤,需要注意的是,在使用svn应该遵循代码管理的最佳实践,例如合理使用分支、标签等功能,定期备份svn仓库等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值