ServiceAccount在k8s1.24版本中的变化

最新推荐文章于 2024-07-19 14:54:37 发布
最新推荐文章于 2024-07-19 14:54:37 发布
阅读量1.4k 收藏 3
点赞数 1
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43266367/article/details/127304422
版权

在k8s1.24之前的版本中,创建ServiceAccout时会自动为其创建一个对应的Secret,里边包含了集群的CA证书、ServiceAccount所在名称空间和访问API Server的token,创建Pod的时候这个Secret会作为存储卷被自动挂载到Pod中,用于Pod中的应用访问API Server时使用

但从1.24版本起不会自动创建这个Secret,如下,在1.24版本的环境中测试

创建一个ServiceAccount sa1

root@k8s-master01:~# kubectl create sa sa1
serviceaccount/sa1 created
root@k8s-master01:~# kubectl get sa
NAME      SECRETS   AGE
default   0         46h
my-sa     0         46h
sa1       0         4s

查询Secret资源,如下图,没有为sa1自动生成对应的Secret

root@k8s-master01:~# kubectl get secret
NAME                    TYPE                                  DATA   AGE
aliyun-image-registry   kubernetes.io/dockerconfigjson        1      44d
harbor-secret           kubernetes.io/dockerconfigjson        1      53d
k8s-cert                kubernetes.io/tls                     2      53d
mysql-root-password     Opaque                                1      26d
nginx-cert              kubernetes.io/tls                     2      45d
secret-basic-auth       kubernetes.io/basic-auth              2      53d
secret-for-my-sa        kubernetes.io/service-account-token   3      46h
root@k8s-master01:~#

现在我们手动创建一个Secret,和sa1绑定,yaml文件如下:

apiVersion: v1
kind: Secret
metadata:
  name: secret-for-sa1
  annotations:
    kubernetes.io/service-account.name: sa1		#指定Secret所属的SecviceAccount
type: kubernetes.io/service-account-token	#指定类型

创建之后,查看Secret内容,k8s会自动为其自动添加token数据

root@k8s-master01:~/resources-yaml# kubectl apply -f secret-for-sa1.yaml
secret/secret-for-sa1 created
root@k8s-master01:~/resources-yaml# kubectl get secret
NAME                    TYPE                                  DATA   AGE
secret-for-sa1          kubernetes.io/service-account-token   3      9s
root@k8s-master01:~/resources-yaml# kubectl describe secret/secret-for-sa1
Name:         secret-for-sa1
Namespace:    default
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: sa1
              kubernetes.io/service-account.uid: 2bfc1ddd-8d33-439c-a0eb-282a01191a4d

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1302 bytes
namespace:  7 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6ImFRd0lqbGF0V2hsODRZZlF3UWdrQmFBckpDc0o0T2Z2OUc1c0hrY0hHNjQifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InNlY3JldC1mb3Itc2ExIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNhMSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjJiZmMxZGRkLThkMzMtNDM5Yy1hMGViLTI4MmEwMTE5MWE0ZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OnNhMSJ9.rSsUz2V0MIPt31Xt1UPCJlRVe32JI4X8SGbvigWqT-7VkWK-13JGJ3nLM5gO0tIECBMz1Rtoh7FMAI-qZlCq9PAtU1mfUIBVXtKbi-MZ8P5xUMeQWkxH4dqR0UA0nVDuXoeYYSBU_19iy8VzNaiSW_5iDU_DCSNhygw5Huj-zK2_pg2cdm9ZXwYQKZSZpEQGnmfPjIzlJCLsy6-3KjlpvYMlsAs9xCSSBQ03PiEu27lwW78k6R0NWvJ0NT7sRt5H2q_-yl6jn_x2r8FVGQNNzDxd6kxvvaJDaAFoLxX6O9TTKiMzNUZ2RH9gcWN4YhkqF23PjyrdVIeW6njANVyk2g
root@k8s-master01:~/resources-yaml#

注意:这里只添加了token,集群的CA和名称空间数据没有被添加,这和之前版本中Service Account对应Secret中的内容是不一样的

创建一个Pod引用sa1

apiVersion: v1
kind: Pod
metadata:
   name: testpod
spec:
  serviceAccountName: sa1
  containers:
  - name: ubuntu
    image: harbor-server.linux.io/base-images/ubuntu:20.04
    imagePullPolicy: IfNotPresent
    command:
    - /bin/sh
    - -c
    - "sleep 3600"

创建之后查看Pod挂载的卷,如下所示,可以看到Pod定义了一个卷kube-api-access-xxx,并且也挂载到容器内/var/run/secrets/kubernetes.io/serviceaccount 目录下的文件和之前的版本是一致的,但卷的数据来源并不是Secret,其中token是由kubelet到tokenRequest api去申请的token,且token的有效期为1小时;ca.crt来自configmap,这个kube-root-ca.crt在每个名称空间都存在,创建新namespace时k8s会自动在namespace下添加;namespace是通过downwardAPI插件获取Pod自身的字段值

root@k8s-master01:~# kubectl get pods/testpod -o yaml	#查看Pod的卷定义和卷挂载信息
......
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: kube-api-access-652fr
      readOnly: true
.......
  volumes:
  - name: kube-api-access-652fr
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          expirationSeconds: 3607
          path: token
      - configMap:
          items:
          - key: ca.crt
            path: ca.crt
          name: kube-root-ca.crt
      - downwardAPI:
          items:
          - fieldRef:
              apiVersion: v1
              fieldPath: metadata.namespace
            path: namespace
root@k8s-master01:~# kubectl  exec pods/testpod -- ls /var/run/secrets/kubernetes.io/serviceaccount		#查看Pod的容器内挂载点下的文件
ca.crt
namespace
token

我们再对比一下Pod中的token和secret-for-sa1中的token是否是同一个

root@k8s-master01:~# kubectl  exec pods/testpod -- cat /var/run/secrets/kubernetes.io/serviceaccount/token
eyJhbGciOiJSUzI1NiIsImtpZCI6ImFRd0lqbGF0V2hsODRZZlF3UWdrQmFBckpDc0o0T2Z2OUc1c0hrY0hHNjQifQ.eyJhdWQiOlsiYXBpIiwiaXN0aW8tY2EiXSwiZXhwIjoxNjk3MzU4Mjk3LCJpYXQiOjE2NjU4MjIyOTcsImlzcyI6Imh0dHBzOi8va3ViZXJuZXRlcy5kZWZhdWx0LnN2YyIsImt1YmVybmV0ZXMuaW8iOnsibmFtZXNwYWNlIjoiZGVmYXVsdCIsInBvZCI6eyJuYW1lIjoidGVzdHBvZCIsInVpZCI6IjdhNzQ1ZGQ4LWIzZjEtNDQzNy1hNzM5LTQwNmVkMjEzOGYwZSJ9LCJzZXJ2aWNlYWNjb3VudCI6eyJuYW1lIjoic2ExIiwidWlkIjoiMmJmYzFkZGQtOGQzMy00MzljLWEwZWItMjgyYTAxMTkxYTRkIn0sIndhcm5hZnRlciI6MTY2NTgyNTkwNH0sIm5iZiI6MTY2NTgyMjI5Nywic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRlZmF1bHQ6c2ExIn0.EdGMk4YYYxlnJFr1X-XfKUQ8pFFPe1MpNIkSKQYhlTAeHR-qN5mnsnc9xf9lvsl12qLHTk2cBY0hRk2M3LqBDHEUhGg22xYdmFEVX2qMbyz64Kuz9dAOIQHfDOp4VzIMHrsUPJpYF2yh9ZmZuE09VEAdt6QHYobQgUVp2m54Z5B-qDajVHkCovJCiDzUkfKYx38_HdPS8FAhx_o6jslfVD3QCxJ4azs6nFdiu1Rq5HEDYG53wuFRSWOCVe2MiNi38uwR1W_N_2Fdr5JebiJucGOIBqYy5VtGR00Ni80I9yzf4-cewhuhUlR7nVniG-yDyLrLgXdxOfWccohdEX5GrA
root@k8s-master01:~#
root@k8s-master01:~# kubectl get secret/secret-for-sa1 -o jsonpath={.data.token} |base64 -d
eyJhbGciOiJSUzI1NiIsImtpZCI6ImFRd0lqbGF0V2hsODRZZlF3UWdrQmFBckpDc0o0T2Z2OUc1c0hrY0hHNjQifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InNlY3JldC1mb3Itc2ExIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNhMSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjJiZmMxZGRkLThkMzMtNDM5Yy1hMGViLTI4MmEwMTE5MWE0ZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OnNhMSJ9.rSsUz2V0MIPt31Xt1UPCJlRVe32JI4X8SGbvigWqT-7VkWK-13JGJ3nLM5gO0tIECBMz1Rtoh7FMAI-qZlCq9PAtU1mfUIBVXtKbi-MZ8P5xUMeQWkxH4dqR0UA0nVDuXoeYYSBU_19iy8VzNaiSW_5iDU_DCSNhygw5Huj-zK2_pg2cdm9ZXwYQKZSZpEQGnmfPjIzlJCLsy6-3KjlpvYMlsAs9xCSSBQ03PiEu27lwW78k6R0NWvJ0NT7sRt5H2q_-yl6jn_x2r8FVGQNNzDxd6kxvvaJDaAFoLxX6O9TTKiMzNUZ2RH9gcWN4YhkqF23PjyrdVIeW6njANVyk2g
root@k8s-master01:~#

如上所示,两个token值是不一致的。将两个token在线解析(jwt.io)一下,查看有什么区别。
先查看Pod内的token,如下图所示,有效期为1年,但这个token在Pod内会1小时更新一次
在这里插入图片描述

再查看secre-for-sa1中的token,如下图,它没有过期时间,是永不过期的
在这里插入图片描述

综上所述:

  1. 1.24版本后创建ServiceAccount不再自动创建对应的Secret
  2. 可以手动创建Secret绑定到ServiceAccount,k8s会为其自动添加永久有效的token
  3. Pod中的应用使用ServiceAccount访问API Server的方式不变,依然可以通过/var/run/secrets/kubernetes.io/serviceaccount目录下的token文件、ca.crt文件和namespace文件访问API Server。但需要注意,token文件中的token每个小时会更新一次
林凡修
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
服务账户service accountkubernetes1.24变化
weixin_45081220的博客
07-08 551
创建pod需要在pod里的.spec.serviceAccount指定pod以哪个service account运行,如果没有指定的话则默认使用default这个sa。然后通过投射卷,在pod的目录/run/secrets/kubernetes.io/serviceaccount/会有一个文件token,里面包括了容器所能用到令牌。我们通过RBAC对sa授了什么权限,那么容器里的app拿着这个token,就具备了什么权限。那么pod里的这个token是从哪里来的呢?我们分几个版本kubernetes
ServiceAccounts 及 Secrets 重大变化
小云的博客
05-25 1696
关于 ServiceAccounts 及其 Secrets 的重大变化 kubernetes v1.24.0 更新之后进行创建 ServiceAccount 不会自动生成 Secret 需要对其手动创建创建 ServiceAccount cat<<EOF|kubectlapply-f- apiVersion:v1 kind:ServiceAcco...
如何在不同 Kubernetes 版本管理 ServiceAccount Token
easylife206的专栏
12-25 396
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ServiceAccount 为 Pod 运行的进程提供了一个身份,Pod 内的进程可以使用其关联服务账号的身份,向集群的 APIServer 进行身份认证。当创建 Pod 的候规范下面有一个spec.serviceAccount的属性用来指定该 Pod 使用哪个 ServiceAccount,如果没有指定的...
k8sservice account
fengcai_ke的博客
07-11 3475
k8s service account分析
k8s的Secret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 4921
执行一下。
kubernetes集群降级|k8s1.24+版本降级到1.23
weixin_38320674的博客
04-22 1639
▲点击上方"DevOps和k8s全栈技术"关注公众号在CentOS系统上进行Kubernetes版本降级需要谨慎操作,因为降级可能会导致集群出现不稳定的情况。在进行版本降级之前,建议先备份Kubernetes集群和相关数据,以便在出现问题可以恢复到之前的状态。下面是从Kubernetes 1.24版本降级到1.23版本的具体步骤:1.查看当前集群Kubernetes版本号:kubectl ...
k8s部署prometheus的镜像
03-23
根据实际需求,配置Prometheus以发现k8s的服务或Pod,如使用KubernetesSD(Kubernetes Service Discovery)。 6. (可选)部署Alertmanager 类似地,创建Alertmanager的Deployment和服务,并配置相应的yaml文件。...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
K8S CKS 1.24 EXAM 练习备考必备 Kubernetes Security Specialist certification is a highly respected certification in the field of container orchestration and cloud computing. This certification aims to...
K8S入门基础课件docx版本
08-03
2. **Service**: ServiceK8S的抽象层,它定义了一种访问Pod的方式,提供了负载均衡和持久化DNS名称。即使Pod重启,Service仍然可以继续提供服务。 3. **Deployment**: Deployment是用于管理Pod和ReplicaSet的...
kuboard版本通过k8s安装nacos2.0.4的yaml文件
03-17
在本文,我们将深入探讨如何使用Kuboard版本Kubernetes (k8s) 集群安装Nacos 2.0.4。Nacos 是一个阿里巴巴开源的分布式服务治理和配置心,它提供了服务注册与发现、配置管理、元数据心等功能。Kuboard 则...
K8S创建用户账号User Account并赋予权限
06-12
本篇将详细介绍如何在K8S创建用户账号(User Account)以及如何为其赋予权限。 一、Kubernetes的认证与授权 在Kubernetes,认证(Authentication)是确认用户身份的过程,而授权(Authorization)则是确定...
2023年Kubernetes版本的选用对比指南
力哥讲技术
05-31 1万+
Kubernetes版本表示为xyz,其x是主要版本,y是次要版本,z是补丁版本简单来讲,kubernetes项目存在3类分支(branch),分别为master,release-X.Y,release-X.Y.Z。
(一)k8s了解
卷心菜投手
10-03 520
一、说明 镜像资源管理工具 Docker Swarm,MESOS APACHE 2019-5 Twitter 将 MESOS APACHE 分布式资源管理框架 换成 Kubernetes 2019-07 阿里云宣布 剔除 Docker Swarm 1.1、Kubernetes Google 10年容器化基础架构 borg(google 内部使用的比k8s更好) GO 语言 Borg 特点: 轻量级:消耗资源小 开源 弹性伸缩 负载均衡:IPVS 1.2、HEL
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1109
Secrets是Kubernetes一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群创建pod通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
kubernetes apiserver 报错 service-account-issuer is a required flag
leenhem的博客
06-16 2023
k8s kube-apiserver 启动报错 k8s 版本 1.24 根据报错提示 说的是是一个必须的参数我们来看一下这个参数是干啥的服务帐号令牌颁发者的标识符。 颁发者将在已办法令牌的 “iss” 声明检查此标识符。 此值为字符串或 URI。 如果根据 OpenID Discovery 1.0 规范检查此选项不是有效的 URI,则即使特性门控设置为 true, ServiceAccountIssuerDiscovery 功能也将保持禁用状态。 强烈建议该值符合 OpenID 规范: https://
k8s配置管理--configmap与secret
热门推荐
大风车儿的博客
04-06 20万+
k8sconfigmap和secret使用
【从零开始搭建k8s v1.24集群】Chapter 2 管理kubernetes集群
Yuriey的博客
07-10 488
管理kubernetes集群
使用Velero备份与恢复K8s集群及应用
最新发布
07-19 857
备份容灾一键恢复集群迁移支持备份pv,备份数据加密,通过两种备份插件实现,通过启动命令upload-type参数更改
外部prometheus监控k8s1.24
05-01
Prometheus是一款可以用于监测和告警的开源软件,可以用来监视从Kubernetes(K8s)集群发出的指标。外部Prometheus监控K8s 1.24版本可以通过以下步骤实现: 首先,需要在K8s集群部署Prometheus Operator。这个操作符会创建一个Prometheus实例,同创建ServiceMonitor和PrometheusRule对象,用来自动发现需要监控的资源(Service、Pod、Endpoint等)并配置Prometheus收集这些资源的指标。 然后,在Prometheus的配置文件指定要监测的K8s集群地址。可以通过kubelet的metrics和API Server的监控端点来收集K8s集群的指标。可以用以下类似的配置: ``` scrape_configs: - job_name: 'kubernetes-nodes' kubernetes_sd_configs: - role: node relabel_configs: - action: labelmap regex: __meta_kubernetes_node_label_(.+) - target_label: __address__ replacement: kubernetes.default.svc:443 - source_labels: [__meta_kubernetes_node_name] target_label: __metrics_path__ replacement: /api/v1/nodes/${1}/proxy/metrics ``` 这个配置会通过kubelet endpoint获取K8s节点的指标信息,并使用`labelmap`将`__meta_kubernetes_node_label_*`标签映射到标准标签上。同,将`__address__`和`__metrics_path__`设置为指定的节点地址和metrics端口。 最后,在Prometheus实例添加要监视的规则和警报,可以在PrometheusRule对象定义这些规则。可以根据需要制定警报规则和处理逻辑,若超过某些阈值则触发报警。可以用以下类似的配置: ``` groups: - name: kubernetes.rules rules: - alert: PodDown expr: absent(kube_pod_info{job="kubelet"}) > 0 for: 5m labels: severity: critical annotations: summary: "Pod {{ $labels.namespace }}/{{ $labels.pod }} down" ``` 这个配置可以定义一个警报规则,即如果某个kubelet无法获取Pod的指标信息,则视为该Pod已关闭,若该警报持续5分钟以上,则视为触发了警报。可以将其严重程度标记为`critical`,并在`annotations`制定触发警报的摘要信息。 以上是外部Prometheus监控K8s 1.24版本实现的部分步骤,具体实现还需要根据具体的情况进行细节调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值