使用ServiceAccount解决pod自动读取k8s凭证时的错误总结

最新推荐文章于 2024-07-19 09:59:14 发布
最新推荐文章于 2024-07-19 09:59:14 发布
阅读量388 收藏 8
点赞数 11
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuozhuqiu6452/article/details/136618843
版权
文章讲述了在项目中使用k8s的in-cluster配置时遇到的两个问题:一是ServiceAccount权限不足,二是kubevirtAPI访问受限。通过分析源码,作者解决了这些问题,强调了权限管理和API密钥管理的重要性。
摘要由CSDN通过智能技术生成

使用背景

在做项目时,一开始使用的是通过将k8s的config文件下载到项目中进行pod的权限等验证。当k8s挂了,重新部署时,往往需要重新下载config,且明文放在项目中也不安全。

config.load_kube_config(config_file=xxx)

将上述代码改为如下代码进行自动读取k8s配置进行权限认证等

config.load_incluster_config()

但需要结合ServiceAccount 和 clusterrole等进行权限的绑定和赋予
在修改后,项目部署是遇到了如下的几个问题:

问题和解决总结

问题1

问题描述:
HTTP response body: {“kind”:“Status”,“apiVersion”:“v1”,“metadata”:{},“status”:“Failure”,“message”:“services is forbidden: User “system:serviceaccount:xxxx” cannot create resource “services” in API group “” in the namespace “default””,“reason”:“Forbidden”,“details”:{“kind”:“services”},“code”:403}

分析:
看到User “system:serviceaccount:xxxx” ,起码可以判断出service account已生效。从后面的报错来判断可能是权限不够,在ClusterRole的rules中先赋予全部权限进行测试

解决方案:
在这里插入图片描述
问题解决!但权限的控制需要解决项目来做控制。

问题2

问题描述:
HTTP response body: {“kind”:“Status”,“apiVersion”:“v1”,“metadata”:{},“status”:“Failure”,“message”:“virtualmachines.kubevirt.io is forbidden: User “system:anonymous” cannot create resource “virtualmachines” in API group “kubevirt.io” in the namespace “default””,“reason”:“Forbidden”,“details”:{“group”:“kubevirt.io”,“kind”:“virtualmachines”},“code”:403}

分析:
此问题和问题1类似,只是是针对kubvirt的,该错误是困扰最久的,在虾哥的帮助下,从kubevirt的源码发现的错误由来

解决
通过追踪kubevirt的源码,发现没有把k8s的api_key的值读到kubevirt中。修改kubevirt源码中default_api.py中全部的auth_settings = []为auth_settings = [‘BearerToken’],这样Configuration对象之前获取的token等凭证可以传入到http请求的head参数中,才不会出现匿名用户权限不够的问题

某某眸某某
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-token.yaml` 文件可能涉及到了服务帐户令牌(Service Account Token)。在 Kubernetes 中,服务帐户是一种特殊类型的用户帐户,用于非交互式进程,如 Dashboard。这个文件可能包含一个令牌,该令牌...
解决:拉取k8s服务列表token过期 + 创建serviceaccount
の博客
05-09 269
k8s api 接口 401_k8s 401_xiangzilong的博客-CSDN博客
大家都较熟悉之 Kubernetes API 分析
weixin_33971205的博客
11-19 214
作者:高朋,科赛网(kesci.com)工程师。致力于让深度学习和数据分析走进个人的开放平台,已完成所有数据分析平台部署于K8SKubernetes概览以下是 k8s 的整体架构,在 master 节点上主要是 kube-apiserver(整合了 kube-aggregator),还有 kube-scheduler,以及 kube-controller-manager,包括后端存储 etcd...
准入控制_Kubernetes动态准入控制示例
weixin_26755329的博客
09-04 833
准入控制A walk-through of creating a webhook for Kubernetes dynamic admission control. 创建用于Kubernetes动态准入控制的Webhook的演练。 The code illustrated in this article is available for download. 本文中说明的代码可以下载 。 Wha...
请求接口Api-Version的心得
weixin_43879532的博客
04-12 7419
参考方向 需求: 后端服务在提供api接口,随着业务的变化,原有的接口很有可能不能满足现有的需求。在无法修改原有接口的情况下,只能提供一个新版本的接口来开放新的业务能力。 区分不同版本的api接口的方式有多种,其中一种简单通用的方式是在uri中添加版本的标识,例如/api/v1/user,api/v3/user。通过v+版本号来指定不同版本的api接口。在后端服务的代码中,可以将版本号直接写入代...
Kubernetes 021】Python客户端自动创建和销毁Kubernetes资源详解
T型人小付的博客
05-22 1009
学会了k8s的基本使用,下面就可以开始一些进阶的学习了,例如二次开发。想象有一个网页管理工具,管理人员只需要点击一个按钮,后台就会自动按照预先设定好的参数创建资源。当资源使用完毕,又可以点击另一个按钮自动删除资源。这一节我们就一起来学习如何用python来完成这一目的。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录客户端操作思路实际操作安装kubernetes库获取认证信息创建API实例导入yaml文件创建和删除检
K8S1.20.6资源对象监控kube-state-metrics-2.0.0镜像及资源清单文件
12-28
部署`kube-state-metrics`,首先需要将这些资源清单文件应用到K8S集群中,使用`kubectl apply -f <filename>.yaml`命令。然后,你可以通过`kubectl get pods`检查`kube-state-metrics` pod的状态,确保它们正在...
python_k8s.tar.gz
08-20
1. **集群认证**:设置kubeconfig文件或使用ServiceAccount进行身份验证。 2. **资源操作**:创建、读取、更新、删除(CRUD)Pod、Deployment、Service、ConfigMap等k8s资源。 3. **事件监控**:监听k8s事件,如资源...
k8s-ops
02-21
8. **安全性和访问控制**:Shell脚本可用于创建和管理ServiceAccount、Role和RoleBinding,确保不同用户和应用具有合适的权限。 9. **版本控制**:通过Git集成,Shell脚本可以将集群配置文件版本化,便于团队协作和...
Kubernetes应用健康检查
weixin_34101784的博客
03-15 412
  在实际生产环境中,想要使得开发的应用程序完全没有bug,在任何候都运行正常,几乎 是不可能的任务。因此,我们需要一套管理系统,来对用户的应用程序执行周期性的健康检查和修复操作。这套管理系统必须运行在应用程序之外,这一点非常重要一一如果它是应用程序的一部分,极有可能会和应用程序一起崩溃。因此,在Kubernetes中,系统和应用程序的健康检查是由Kubelet来完成的。 1、进程级健康检查  ...
K8S的apiVersion该用哪个
weixin_34167043的博客
11-25 2279
本篇文章来自Terraform与Kubernetes中关于Deployment apps/v1的吐槽 Kubernetes的官方文档中并没有对apiVersion的详细解释,而且因为K8S本身版本也在快速迭代,有些资源在低版本还在beta阶段,到了高版本就变成了stable。 如Deployment: 1.6版本之前 apiVsersio...
k8s部署出现的问题
weixin_45646026的博客
03-22 6910
1、问题:kubectl -n project-single get pod 查看节点信息,节点报错 pod节点报错:failed to try resolving symlinks in path "/var/log/pods/project-single_seriesapi-prod-649c87d45c-plwpw_d2fac1a5-c537-48aa-8115-60246a4a83a5/base/61.log": lstat /var/log/pods/project-single_series
Kubernetes踩坑(一): 部署问题记录
ywq935的博客
04-27 2万+
一、etcd服务启动后报错etcd cluster ID mismatch: 检车service配置cluster选项有无问题,若无问题,则可能是此前的etcd bootstrap加速启动缓存残留导致,坑爹的是rm -rf /var/lib/etcd/* 删除完了之后还是报错,必须 rm -rf /var/lib/etcd/才能彻底清除,删除完成后记得再创建该路径mkdir /...
Kubernetes ServiceAccount 解决 pod 在集群里面的身份认证问题
小楼一夜听春雨,深巷明朝卖杏花
04-12 2063
ServiceAccount 介绍 接下来,我们讲一下 ServiceAccountServiceAccount 首先是用于解决 pod 在集群里面的身份认证问题,身份认证信息是存在于 Secret 里面。 [root@k8s-master ~]# kubectl get secret NAME TYPE DATA AGE default-token-j9294 kubernetes.io/s
k8s 集群部署问题整理
热门推荐
kismile
09-09 7万+
1、hostname “master” could not be reached 在host中没有加解析 2、curl -sSL http://localhost:10248/healthz curl: (7) Failed connect to localhost:10248; 拒绝连接 在host中没有localhost的解析 3、Error starting daemon: SEL...
K8S POD控制器:从基础到高级实战技巧
sdgfafg_25的博客
07-16 996
Kubernetes是由Google开发并捐赠给Cloud Native Computing Foundation的一个项目。它允许用户自动部署、扩展和管理容器化应用,并在提供这些服务的同,保持高效和可靠。Kubernetes的核心组件之一是POD,它是Kubernetes应用程序的基本执行单元。一个POD中可以包含一个或多个容器,这些容器共享存储、网络和运行配置。在Kubernetes中,POD控制器则是负责确保POD的生命周期管理。它们确保在任何给定间,集群中都有正确数量的POD副本在运行。
RKE部署k8s
最新发布
professorman的博客
07-19 325
安装成功之后会在当前目录生成kube_config_cluster.yml文件,此为k8s的kube_config文件,需要配置kubectl默认读取文件才可执行kubectl命令进行查询。如果需要增加node节点或者etcd节点,只需要更改cluster.yml后rke up --update-only即可。则在install的候加上。此处密码最少12个字符。rke部署k8s集群。
k8s集群 安装配置 Prometheus+grafana
weixin_43258559的博客
07-17 881
k8s集群 安装配置 Prometheus+grafana+alertmanager
k8s中,创建service如何指定pod
05-19
Kubernetes中,创建Service需要指定一组后端Pod作为其目标。您可以使用以下两种方式之一来指定这些Pod: 1. 通过使用标签选择器来选择Pod。在创建Service,您可以指定一个或多个标签,这些标签将用于选择需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值