kubernetes用户使用token安全认证教程

最新推荐文章于 2024-04-27 00:41:45 发布
最新推荐文章于 2024-04-27 00:41:45 发布
阅读量3.8k 收藏 2
点赞数
分类专栏: 技术干活
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014389734/article/details/90311225
版权
本文介绍了Kubernetes中token的用途,尤其是用于官方dashboard登录。讨论了service account token的限制,并重点讲述了基于openid的JWT认证,以及现有解决方案如dex的集成问题。为了解决这些问题,作者提出了名为fist的简单认证模块,它实现了核心的token生成和JWT功能,简化了Kubernetes的用户认证流程。
摘要由CSDN通过智能技术生成
kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。

token主要用来干啥

官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的token来登录dashboard,能通,不过有问题: 第一:绑定角色时要指定类型是service account:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount   # 这里不是User类型
  name: kubernetes-dashboard
  namespace: kube-system

第二:要理解kubeconfig里是解析证书把CN作为用户名的,这时service account即便与CN一样那还是两个账户,绑定角色时还需要绑定两次,有点像把service account给”人”用, 所以把service account的token扔给某个开发人员去用往往不合适,service account token更多时候是给程序用的。

想直接调用https的,没有token就会:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl https://172.31.12.61:6443/api/v1/namespaces/default/pods --insecure
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}

因为没有任何认证信息,所以匿名(anonymous)用户没有任何权限

加了token是这样的:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkNnYzRPVEV5TlRVM0VnWm5hWFJvZFdJIn0.eyJpc3MiOiJodHRwczovL2RleC5leGFtcGxlLmNvbTo4MDgwIiwic3ViIjoiQ2djNE9URXlOVFUzRWdabmFYUm9kV0kiLCJhdWQiOiJleGFtcGxlLWFwcCIsImV4cCI6MTU1MTA5NzkwNiwiaWF0IjoxNTUwNzM3OTA2LCJlbWFpbCI6ImZodGpvYkBob3RtYWlsLmNvbSIsImVtYWlsX3ZlcmlmaWV
最低0.47元/天 解锁文章
云计算运维工程师
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube获得token_kubernetes用户使用token安全认证教程
weixin_35657239的博客
01-17 2580
kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。token主要用来干啥官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的token来登录...
K8S的dashboard使用token登录
IT利刃出鞘的博客
12-28 2604
本文介绍K8S的dashboard如何使用token登录。
Kubernetes详解(五十七)——Dashboard令牌访问控制
永远是少年
05-11 2756
今天继续给大家介绍Linux运维相关知识,本文主要内容是Dashboard令牌访问控制。 一、Dashboard访问控制 二、生成访问证书 三、ServiceAccount创建 四、token访问
Kubernetes】k8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
最新发布
2301_82056337的博客
04-27 960
–server=https://192.168.59.142:6443——masterIP替换。
k8s 快速搭建Dashborad-admin界面-token方式
qq_16481385的博客
03-17 917
为了更加方便的管理和可视化的展示k8s集群信息,下面将快速的安装K8sUI管理界面: 1)指定Dashborad的运行节点 1、给master主机设置一个label用来后面部署dashborad的时候指定部署到master主机上,防止部署到node节点上 kubectl label nodes k8s-master master=node1 2、拉取镜像 docker pull mir...
Kubernetes — Dashboard
qq_41619571的博客
10-12 8601
参考文件: Kubectl Reference Docs (kubernetes.io) 配置对多集群的访问 | Kubernetes
Kubernetes - Dashboard Token 访问登录永不过期配置
牧码的博客
12-18 1037
Kubernetes - Dashboard Token 访问登录永不过期配置
2、Kubernetes 集群安全 - 认证1
08-04
本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS证书认证。 首先,HTTP Base认证是一种常见的认证方式,它涉及到用户名和密码的使用。在HTTP请求的Header中的`...
SuperMap iclient for javascript使用token安全认证
12-14
本范例主要关注的是使用Token作为安全认证机制,这是一种常见的身份验证方式,可以有效防止未授权的访问。以下是关于“SuperMap iClient for JavaScript使用Token安全认证”及相关知识点的详细说明: 1. **Token...
Kubernetes 集群安全-教程与笔记习题
05-22
教程将深入探讨Kubernetes集群的安全性,特别是关注授权机制,这是确保只有授权的实体才能执行特定操作的关键部分。 Kubernetes API Server是集群的核心组件,负责处理所有请求。在认证阶段,系统验证请求者的...
django基于存储在前端的token用户认证解析
09-18
主要介绍了django基于存储在前端的token用户认证解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
K8S 学习笔记四 token过期处理 dashboard部署 deployment
BogerPeng的博客
07-06 1834
K8S 学习笔记四 token过期处理 dashboard部署 deployment 笔记记录尚硅谷老师的视频课 地址:https://www.bilibili.com/video/BV13Q4y1C7hS?p=39&vd_source=468c9dc64fa1f1c115ccfcff4b316262
Kubernetes Dashboard 生成token
12-24 7735
Kubernetes Dashboard Token
kubernetes 集群的访问-Token方式
qq_37377136的博客
09-12 1274
一、创建新的名称空间 kubectl create ns k8s-token 二、查看新名称空间的secrets 与serviceaccount kubectl get serviceaccounts -n k8s-token && \ kubectl describe serviceaccounts -n k8s-token && \ kubectl get secrets -n k8s-token && \ kubectl descr
kubernetes——安全认证
liuchao666888的博客
11-05 3699
机制说明 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务。API server是集群内部各个组件通信的中介,也是外部控制的入口。所以kubernetes安全机制基本就是围绕保护API server来设计的。kubernetes使用认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API server的安全 Authentivation(认证) 1、HTTP Token认证:通过一个tok
kubernetes使用(1.25)
我的技术博客
12-06 1014
$ archuname -a注:x86_64,x64,AMD64基本上是同一个东西Kubernetes有很多核心概念,我们先看下几个核心的概念。其他概念可以看一下我的安装文档DeploymentDeployment负责创建和更新应用程序的实例。创建Deployment后,Kubernetes Master 将应用程序实例调度到集群中的各个节点上。如果托管实例的节点关闭或被删除,Deployment控制器会将该实例替换为群集中另一个节点上的实例。这提供了一种自我修复机制来解决机器故障维护问题。PodPod相当
Kubernetes Dashboard获取token的命令
weixin_47641681的博客
05-04 1333
kubectl create token dashboard-admin -n kubernetes-dashboard
如何获取Kubernetes Dashboard的token
06-01
要获取Kubernetes Dashboard的token,可以按照以下步骤进行操作: 1. 打开终端并登录到 Kubernetes 集群的控制平面节点。 2. 执行以下命令获取 ...在生产环境中,应该使用更加安全的方式来管理 Kubernetes 集群。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值