kube获得token_kubernetes用户使用token安全认证教程

最新推荐文章于 2024-06-12 11:39:34 发布
最新推荐文章于 2024-06-12 11:39:34 发布
阅读量2.5k 收藏
点赞数
文章标签: kube获得token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35657239/article/details/113023075
版权

kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。

token主要用来干啥

官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的token来登录dashboard,能通,不过有问题: 第一:绑定角色时要指定类型是service account:

apiVersion: rbac.authorization.k8s.io/v1beta1

kind: ClusterRoleBinding

metadata:

name: kubernetes-dashboard

labels:

k8s-app: kubernetes-dashboard

roleRef:

apiGroup: rbac.authorization.k8s.io

kind: ClusterRole

name: cluster-admin

subjects:

- kind: ServiceAccount # 这里不是User类型

name: kubernetes-dashboard

namespace: kube-system

第二:要理解kubeconfig里是解析证书把CN作为用户名的,这时service account即便与CN一样那还是两个账户,绑定角色时还需要绑定两次,有点像把service account给”人”用, 所以把service account的token扔给某个开发人员去用往往不合适,service account token更多时候是给程序用的。

想直接调用https的,没有token就会:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl https://172.31.12.61:6443/api/v1/namespaces/default/pods --insecure

{

"kind": "Status",

"apiVersion": "v1",

"metadata": {

},

"status": "Failure",

"message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",

"reason": "Forbidden",

"details": {

"kind": "pods"

},

"code": 403

}

因为没有任何认证信息,所以匿名(anonymous)用户没有任何权限

加了token是这样的:

[root@iZj6cegflzze2l7fpcqoerZ ssl]# curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IkNnYzRPVEV5TlRVM0VnWm5hWFJvZFdJIn0.eyJpc3MiOiJodHRwczovL2RleC5leGFtcGxlLmNvbTo4MDgwIiwic3ViIjoiQ2djNE9URXlOVFUzRWdabmFYUm9kV0kiLCJhdWQiOiJleGFtcGxlLWFwcCIsImV4cCI6MTU1MTA5NzkwNiwiaWF0IjoxNTUwNzM3OTA2LCJlbWFpbCI6ImZodGpvYkBob3RtYWlsLmNvbSIsImVtYWlsX3ZlcmlmaWV

最低0.47元/天 解锁文章
包泽华
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes用户使用token安全认证教程
u014389734的博客
05-18 3845
kubernetes server account的token很容易获取,但是User的token非常麻烦,本文给出一个极简的User token生成方式,让用户可以一个http请求就能获取到。 token主要用来干啥 官方dashboard登录时需要。 如果通过使用kubeconfig文件登录而文件中又没有token的话会失败,现在大部分文章都介绍使用service account的tok...
ASP.NET 获取客户端IP和MAC地址的程序
08-25
本程序在ASP.NET下用C#实现了对客户端IP和MAC地址的获取。对于在服务器和客户端之间有路由器的情况,只能获取到路由器的IP和MAC地址。
华为 IP源防攻击和MAC认证
艺博东的博客
12-07 1万+
文章目录 一、拓扑 二、IPSG 三、MAC认证
k8s-kubernetes常用命令,服务部署,可视化控制台安装及token的生成
最新发布
你是我的天晴
06-12 859
上一篇文章介绍了怎么,现在我们来学习下kubernetes的常用命令我们直接通过部署可视化控制台kubernetes-dashboard来顺便学习下kubernetes的常用命令及服务的部署。
新建Token来访问K8S apiserver
第一天
01-08 2872
我们管理K8s主要有两种方式,1是通过服务器上面的kubectl客户端,第二个就是api方式进行访问。可以正常访问,这里用-k 忽略掉了https证书。5、使用https证书访问api-server。新建一个createaccount.yaml。4、测试访问api-server。
asp.net core 自定义认证方式--请求头认证
weixin_30621919的博客
03-03 516
asp.net core 自定义认证方式--请求头认证 Intro 最近开始真正的实践了一些网关的东西,最近写几篇文章分享一下我的实践以及遇到的问题。 本文主要介绍网关后面的服务如何进行认证。 解决思路 网关可以做一部分的认证和授权,服务内部有时候也会需要用户的信息,这时该怎么办呢,我们使用的是 JWT 认证,有一个 identity server去颁发,验证 token,一种简单方式可以把 to...
通过token认证的方式来加速OKE集群的访问
engchina的专栏
10-20 905
通过token认证的方式来加速OKE集群的访问
Compromising_Kubernetes_Cluster_by_Exploiting_RBAC_Permissio
08-28
此外,定期审计RBAC配置、监控异常活动、使用多因素认证以及限制服务账户的权限范围也是保护Kubernetes集群免受攻击的重要措施。 总的来说,理解和正确实施Kubernetes的RBAC是保障云环境安全的关键步骤。只有通过...
kube_gittlab_regcleaner:适用于Kubernetes管理员的GitLab Registry清理程序
04-18
案例是从GitLab删除未使用的图像,并将应用程序使用的图像保留在Kubernetes中。 资源 CPU_REQUEST = 0.05 RAM_REQUEST = 64 Mb CPU_LIMIT = 0.5 RAM_LIMIT = 128 Mb 本地跑步 python3.9 start.py 建造 docker ...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
check_kubernetes:NagiosIcingaZabbix样式插件,用于检查Kubernetes
05-08
CHECK_KUBERNETES Nagios样式针对Kubernetes API进行检查。 专为与Nagios,Icinga,Zabbix配合使用而设计。依存关系q 的openssl脚本用法Usage $0 [-m |-h] [-o ] [-H <APISERVER> [-T <TOKEN>|-t ]] [-K <KUBE>] [-N...
3、Kubernetes 集群安全 - 鉴权1
08-04
Pod 使用 ServiceAccount 认证时,service-account-token 中的 JWT 会保存 User 信息。有了用户信息,再创建一对角色/角色绑定(集群角色/集群角色绑定)资源对象,就可以完成权限绑定了。 通过 RBAC,Kubernetes ...
Kubernetes】k8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-03 1万+
文章目录环境准备k8s安全框架介绍token验证说明启用token验证测试token验证base-auth【已经被淘汰】kubeconfig验证说明kubeconfig文件拷贝做测试创建kubeconfig文件【重要】申请证书创建kubeconfig 文件用户授权验证kubeconfig 文件oauth【第三方的认证方式】授权了解sa安装dashboard资源限制 环境准备 首先需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME
http请求头_ASP.NET Core实现Http自定义请求头策略
weixin_39537977的博客
12-01 1179
(给DotNet加星标,提升.Net技能)转自:lex-wucnblogs.com/lex-wu/p/13301272.html前言在正常的情况下,当我们系统用到JWT认证方式时,需要在Http请求头添加Authorization: XXX,这样在后台服务的控制器中打上[Authorize]授权标签,就限定所有的请求必须通过鉴权方可访问。在ASP.NET Core - 基于IHttpCo...
kubernetes token 过期 生成 永久
sxpnp的博客
01-05 737
如有问题,以你为准
k8s创建用户(serviceaccount)没有token
weixin_65951291的博客
11-16 546
新版本的k8s需要手动生成。
k8s搭建dashboard权限问题:forbidden “default“
ChampionDong的博客
09-24 1821
起因: kubeadm手动部署dashboard问题,记录一下 网页端错误如下: forbidden: User "system:anonymous" cannot get resource "pods" in API group "" in the namespace "default" 需要新增用户和权限 创建: vi admin-user.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace
匿名用户被禁止访问configmaps is forbidden: User "system:anonymous" cannot list resource "configmaps" in API g
热门推荐
wangmiaoyan的博客
11-26 1万+
configmaps is forbidden: User “system:anonymous” cannot list resource “configmaps” in API group “” in the namespace “default” 给匿名用户授权即可解决,测试环境可用此快速解决 kubectl create clusterrolebinding test:anonymous ...
/usr/local/bin/kubeadm --kubeconfig /etc/kubernetes/admin.conf token create 超时
06-01
如果 `kubeadm` 命令执行超时,可能有以下原因: 1. 网络问题:该命令需要和 Kubernetes API ...3. 检查 Kubernetes 集群的安全策略,如果策略限制了命令的执行,可以修改策略或者使用具有足够权限的用户来执行命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值