基于RBAC方式从Pod内访问API server

最新推荐文章于 2023-11-05 20:33:13 发布
最新推荐文章于 2023-11-05 20:33:13 发布
阅读量4.5k 收藏 3
点赞数 1
分类专栏: Kubernetes cluster 文章标签: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013431916/article/details/80057369
版权

关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC

当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。

然而在Pod内要想访问API server,更常用的方法是利用service account来验证权限。不幸的是,Kubernetes默认提供的default service account的权限非常有限,很多api的请求都无权执行。因此,需要创建一个拥有高权限的service account。基本方法就是:创建一个具有高权限的role(包括Role和ClusterRole),然后将这个具有高权限的role和一个新的service account绑定起来(绑定方法包括RoleBinding和ClusterRoleBinding)。具体内容可以查看Kubernetes RBAC

这里为了简便,直接利用了cluster-admin role。当然你也可以自己定制自己的role。

如service-account-rbac.yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: myserviceaccount
  namespace: default

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1alpha1
metadata:
  name: myserviceaccount
subjects:
  - kind: ServiceAccount
    name: myserviceaccount
    namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

使用kubectl创建serviceaccount和clusterrolebingding。这样在default命名空间就会创建好一个名为myserviceaccount的service account。

新创建Pod时,显式地加入新创建的service account(否则会自动加入默认的default这一service account),在pod中的/var/run/secrets/kubernetes.io/serviceaccount/目录下可以查看到service account的内容。

这时,可以在pod中安装kubernetes的客户端:kubernetes-client/python

可以源码安装,也可以使用pip。

# pip install kubernetes==5.0.0

由于使用的kubernetes版本为1.9,官方推荐的kubernetes-client的适配版本为5.0,这里指定安装5.0.0版本。

在pod中尝试运行python/examples/in_cluster_config.py

如果能够输出pod的列表,则成功了。


参考:

1. Accessing Clusters

2. Kubernetes RBAC

3. kubernetes-client/python

4. follow-me-install-kubernetes-cluster/09-部署Dashboard插件.md

shuai_wow
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s 使用 kubectl 访问 api-server 失败,node “XXX“ not found
日常学习与专研的记录
05-30 1万+
本文提供一种解决思路,解决 node not found 的问题。
Pod 内是如何与 APIServer 进行交互的
weixin_45541397的博客
04-24 695
Pod 如何访问 API-Server
pod 通过 serviceAccount 访问 ApiServer
WayJasy的博客
09-07 676
pod 通过 serviceAccount 访问 k8s Apiserver
Pod访问 Kubernetes API
zgn666的博客
07-26 516
# 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat ${SERVICEACCOUNT}/token) # 引用内部.
pod访问kubernetes API server
russle的专栏
04-05 5748
本文接上一篇介绍如何从pod内部访问kubernetes API server。 所有的pod默认都关联上一个serviceAccount,只要该serviceAccount有权限访问访问的资源对象,就可以直接访问。 我们使用default namespace中default serviceAccount, 提前创建了一个role并将default和该role进行roleBinding。 前提 ...
metrics-server 0.6.1
03-24
【metrics-server 0.6.1】是一款针对Kubernetes(k8s)集群的资源监控工具,用于提供详细的节点和Pod级别的性能指标。在Kubernetes中,Horizontal Pod Autoscaler(HPA)依赖于这些指标来自动调整Pod的副本数量,以...
K8S之 metrics-server 组件
06-17
metrics-server通过apiserver的 watches机制持续监听Pod和Node的状态变化。当有新的Pod创建或销毁,或者已有Pod的资源使用情况发生变化时,metrics-server会更新相应的度量信息。它使用Kubelet暴露的metrics API来...
kubernetes-server-linux-amd64.tar.gz
08-28
10. **安全配置**:确保所有组件都使用安全的配置,如启用TLS通信,限制API访问,以及使用RBAC(Role-Based Access Control)进行权限管理。 通过以上步骤,你就能在Linux AMD64平台上成功部署Kubernetes 1.25.10。...
kubernetes访问控制与服务网格istio
04-19
Kubernetes的配置文件中,如`kube-apiserver.yaml`,你可以看到RBAC的启用和配置。例如,通过修改这个文件,你可以开启或关闭RBAC模块。 4. **RBAC规则(rules)**: 规则定义了哪些API组(apiGroups)、资源...
K8S ApiServer:各个pod是如何访问kube-apiserver的?
最新发布
学亮编程手记
11-05 353
这样一来,其他pod访问kube-api-server的整个流程就是:pod创建后嵌入了环境变量,pod获取到了kubernetes这个服务的ip和443端口,请求到kubernetes这个服务其实就是转发到了master节点上的6443端口的kube-api-server这个pod里面。这个服务的ip地址是clusterip地址池里面的第一个地址,同时这个服务的yaml定义里面并没有指定标签选择器,在命名空间的kube-system命名空间里,有一个名称为kube-api-master的pod
k8s 中基于RBAC 控制pod访问权限
weixin_43632687的博客
04-10 409
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
如何优雅的让 Pod 通过 ServiceAccount 访问 K8s api-server
云原生实验室
02-06 684
❝本文转自掘金 LEE 的博客,原文:https://juejin.cn/post/7195842444302123069,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang事件背景某天早上刚到公司工位上,正准备开会。被一个业务组项目负责人抓住了,然后着急的说到:“老李啊,跟你说。昨天晚上准备要上线的 Ingressroutes 监控分析模块不能上线了,现在导致我...
【K8S】详解K8S中关于pod和网络的一切问题
带你去吃小豆花的博客
07-23 2971
K8S集群的pod网络通信,pod的状态,pod的调度策略,pod的健康检查
智汇华云 | ArSDN CNI 之容器和虚拟机的通信
weilidai的博客
01-19 683
应用集群组件由于其特性,会部署到容器、虚拟机中,那么组件间的通信就会跨多平台。虚拟机是通过ArStack管理维护,K8s则由AKE组件管理维护,两者属于不同的平台。当虚拟机和容器需要相互“交谈”的时候,我们需要以某种方式实现两个独立集群之间的通信。本文将介绍通过ArSDN如何实现容器和虚拟机的互通。 实现思路 单个可用区中部署ArSDN组件,可用区中的AKE、ArStack都接入ArSDN,由ArSDN接管网络平台的控制和数据面流量转发。 当数据面统一由ArSDN接管后,则可以将容器、虚拟机统一到一个平台来
Kubernetes Pod中使用Service Account访问API Server
xiaomin1991222的专栏
03-10 543
Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。 然而,在生产环境中,Kubernetes API Server都是“设防”的。在《Kubernetes集群的安全配置》一文中,我提到过:Kubernetes通过client cert、static toke...
pod中使用脚本 curl 访问 kubernates的apiserver接口
qq_38371367的博客
04-16 1171
参考官方,自己记录一下 前言 本文仅记录使用 curl shell命令访问集群的apiserver,其他开发语言库可以在官方处找到: 客户端库: https://kubernetes.io/zh/docs/reference/using-api/client-libraries/ 官方从 Pod访问 Kubernetes API描述: https://kubernetes.io/zh/docs/tasks/run-application/access-api-from-pod/ 访问 REST API
kubernetes api微服务开发--访问api server
xingyuzhe的博客
06-04 7979
目标:完成对api server访问服务的开发,获取kubernetes集群当前namespace与nodes环境: IntelliJ IDEA步骤:Kubernetes Java API简介->Gradle项目构建->API调用服务编写->Swagger组件配置->Controller服务编写->运行测试1.Kubernetes Java API简介REST架构是针...
[k8s]api访问初探
毛台
08-15 9292
api日志的展示 手工二进制安装的,可以看到api的日志: [root@node131 ~]# systemctl status kube-apiserver ● kube-apiserver.service - Kubernetes API Server Loaded: loaded (/etc/systemd/system/kube-apiserver.service; enabled;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值