OpenShift 4 - 为Serivce Account赋权

已于 2024-03-15 11:14:53 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: OpenShift 4 安全 ServiceAccount 文章标签: OpenShift SerivceAccount
于 2020-08-04 21:32:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107780729
版权
OpenShift 4 同时被 3 个专栏收录
272 篇文章 79 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
ServiceAccount
4 篇文章 1 订阅
订阅专栏

OpenShift 4.x HOL教程汇总

什么是ServiceAccount

当你通过oc命令访问OpenShift集群时,你会被apiserver认证为一个特定的用户账户(User Account)。应用进程也可以访问apiserver,当它们这样做的时候,它们会被认证为一个特定的服务账户(Service Account)。

User Account是全局的、是跨namespace不能重复的;而Service Account则是仅局限它所在的namespace,即不同的namespace中可以有相同名称的Service Account。所以Service Account的命名方式是“system:serviceaccount::”。

User Account是为人设计的,而Service Account是为了方便Pod中的进程调用OpenShift API或其他外部服务而设计的,例如在Jenkins的Pipeline中需要从Registry拉取一个Image。我们(一个人)是否可以用在Terminal终端上使用Service Account对项目资源操作?答案是肯定的。由于一个Service Account只有对应的Token,因此当我们使用Service Account登录OpenShift的时候,我们只能使用它的Token作为认证凭证。而当我们用User Account登录OpenShift的时候,我们既可以使用user/password、还可以使用Token登录。

在创建Service Account的时候,每个Service Account会自动放在2个Group中:

  1. system:serviceaccounts
    这个组包括了系统中所有的Service Account。
  2. system:serviceaccounts:<PROJECT>
    这个组包括了<PROJECT>中所有的Service Account。

项目缺省的ServiceAccount

OpenShift会为每个项目创建3个缺省的ServiceAccount:builder、deployer、default。

$ oc new-project my-serviceaccount
$ oc get sa
NAME       SECRETS   AGE
builder    2         2d
default    2         2d
deployer   2         2d
  1. builder:被build pod使用,被赋予了system:image-builder角色(Role),允许它向当前OpenShift项目对应在OpenShift内部Docker Registry的Repository推送Image。
  2. deployer:被deployment pod使用,被赋予了system:deployer角色(Role),允许它修改当前项目中的RC和Pod配置。
  3. default:被其它pod使用。
    另外,项目中所有的ServiceAccount都被赋予system:image-puller角色。可以拉取本项目对应在OpenShift内部Docker Registry的Image。

管理操作ServiceAccount

  1. 用集群管理员登录OpenShift
$ OCP_API=$(oc whoami --show-server)
  1. 创建名为robot的 ServiceAccount。
$ oc create sa robot
serviceaccount "robot" created
  1. 查看名为robot的 ServiceAccount。其中可以看到sa挂载了2个secret,一个对应的是Image pull secret,一个对应的是Token。
$  oc describe sa robot
Name:                robot
Namespace:           my-serviceaccount
Labels:              <none>
Annotations:         <none>
Image pull secrets:  robot-dockercfg-7dxhs
Mountable secrets:   robot-token-4jwps
                     robot-dockercfg-7dxhs
Tokens:              robot-token-4jwps
                     robot-token-svpm2
Events:              <none>
  1. 查看名为robot的ServiceAccount的Token。返回的是第一个Token。
$ oc sa get-token robot
eyJhbGciOiJSUzI1NiIsImtpZCI6InhaVFRQNWtlb3RyRENwNmNTVWtpTzJ5UGw4dDhsVXMxWUlVX3BkSEdKRUkifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJteS1zYSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJyb2JvdC10b2tlbi00andwcyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJyb2JvdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjY3Njg2ZWM1LWU2NjYtNGFkMi1iMTUxLTQzODMyNmRmNWMxZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpteS1zYTpyb2JvdCJ9.GB4YjqqyZ2M3drIGlV4-jp4hMXasUsgCMRWvgO3V27FHwirR4RJkas8i_Lvuu3JBpozmjj6B_5rRirXDevPgJuTr36NsqGDg9CbCIkDmWMZw_QNDi6jpyLm_DSaPRQnp_9J7B2b7-IWH7alOAOtR9oY5GIjfOOFSVybahhwzY84H3N9rJDY23V676OluAQDNKV8IJRWufWrD237JX3Ew7Lg6snNerEmrnqmmMrTHKtmJC-y1N4FVOo96bkrEmeJSDQEaNJPC37JlMQvcSmmkiqOSPBkZ5y4s3NYeZ-ZH816jQiSQqlgr_IxD8XM01lQS3EE9EZNeU-8Ln80HX-i2rw
  1. 查看对应Token名的secret信息,确认其token内容和上一步获得的token内容一致。
$ oc describe secret robot-token-4jwps
Name:         robot-token-4jwps
Namespace:    my-serviceaccount
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: robot
              kubernetes.io/service-account.uid: 67686ec5-e666-4ad2-b151-438326df5c1d
 
Type:  kubernetes.io/service-account-token
 
Data
====
namespace:       5 bytes
service-ca.crt:  6079 bytes
token:           eyJhbGciOiJSUzI1NiIsImtpZCI6InhaVFRQNWtlb3RyRENwNmNTVWtpTzJ5UGw4dDhsVXMxWUlVX3BkSEdKRUkifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJteS1zYSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJyb2JvdC10b2tlbi00andwcyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJyb2JvdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjY3Njg2ZWM1LWU2NjYtNGFkMi1iMTUxLTQzODMyNmRmNWMxZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpteS1zYTpyb2JvdCJ9.GB4YjqqyZ2M3drIGlV4-jp4hMXasUsgCMRWvgO3V27FHwirR4RJkas8i_Lvuu3JBpozmjj6B_5rRirXDevPgJuTr36NsqGDg9CbCIkDmWMZw_QNDi6jpyLm_DSaPRQnp_9J7B2b7-IWH7alOAOtR9oY5GIjfOOFSVybahhwzY84H3N9rJDY23V676OluAQDNKV8IJRWufWrD237JX3Ew7Lg6snNerEmrnqmmMrTHKtmJC-y1N4FVOo96bkrEmeJSDQEaNJPC37JlMQvcSmmkiqOSPBkZ5y4s3NYeZ-ZH816jQiSQqlgr_IxD8XM01lQS3EE9EZNeU-8Ln80HX-i2rw

使用ServiceAccount登录

  1. 在一个新终端窗口执行命令,用robot的ServiceAccount登录OpenShift。
$ TOKEN=$(oc sa get-token robot)
$ oc login --token=${TOKEN} ${OCP_API} --insecure-skip-tls-verify
Logged into "https://api.cluster-beijing-f5b3.beijing-f5b3.sandbox1120.opentlc.com:6443" as "system:serviceaccount:my-serviceaccount:robot" using the token provided.
 
You don't have any projects. Contact your system administrator to request a project.
  1. 查看登录的身份。
$ oc whoami
system:serviceaccount:my-serviceaccount:robot

给ServiceAccount赋权

  1. 我们发现当使用名为robot的service account登录OpenShift后,没有权限对my-serviceaccount项目多任何操作。
$ oc project my-serviceaccount
error: You are not a member of project "my-serviceaccount".
  1. 再次使用集群管理员登录,然后执行以下命令,为robot增加my-serviceaccount项目的view权限。
$ oc policy add-role-to-user view system:serviceaccount:my-serviceaccount:robot
clusterrole.rbac.authorization.k8s.io/view added: "system:serviceaccount:my-serviceaccount:robot"
  1. 再次用robot登录OpenShift,确认提示说明可以访问my-serviceaccount项目了。
$  oc login --token=${TOKEN} ${OCP_API} --insecure-skip-tls-verify
Logged into "https://api.cluster-beijing-f5b3.beijing-f5b3.sandbox1120.opentlc.com:6443" as "system:serviceaccount:my-serviceaccount:robot" using the token provided.
 
You have one project on this server: "my-serviceaccount"
 
Using project "my-serviceaccount".
  1. 执行命令,进一步查看my-serviceaccount项目的sa资源。
$ oc get sa
NAME       SECRETS   AGE
builder    2         101m
default    2         101m
deployer   2         101m
robot      2         16m
  1. 执行命令,确认robot拥有的项目权限。
$ oc auth can-i list pod
yes
$ oc auth can-i list build
yes
$ oc auth can-i list imagestream
yes
$ oc auth can-i list dc
yes

参考

  1. https://docs.openshift.com/container-platform/4.5/authentication/understanding-and-creating-service-accounts.html
  2. https://bierkowski.com/openshift-morsels-login-as-a-service-account/
dawnsky.liu
关注
专栏目录
OpenShift Service Account 基本介绍
Christina の Blog
05-10 493
Service Account 是一种 OpenShift 用户. 相较于普通用户, 它可以更直接访问 API. Service Account 缩写 sa 官方的解释在这: 系统会默认创建几个 sa oc get sa 想看更详细的信息 oc get sa -o yaml 每个 sa 都是一个 2 个group成员 每个sa 都自动包含两个 secret API token Credentials for the OpenShift Container Registry 创建 Servic
OpenShift 4 - Pod是如何使用Serivce Account访问API的
多恩斯基的博客
08-07 268
进入OpenShift自带的terminal项目的pod。 $ oc rsh $(oc get pod -n terminal -l=app=terminal -o jsonpath="{ .items[0].metadata.name }") 查看pod里serviceaccount目录中的资源 sh-4.2$ ls -l /var/run/secrets/kubernetes.io/serviceaccount total 0 lrwxrwxrwx. 1 root root 13 Aug 6.
【Unity 3D】导入项目报错“... not a member of this project this build will not access Unity services.”
csdncsdn_csdncsdn的博客
05-28 4957
【问题描述】 导入别人开发的 Unity 3D 项目,登录的账号不是同一个,编译时报警告,“Because you are not a member of this project this build will not access Unity services.”。 这是因为当前登陆的 Unity 账户不同 ,当前的账号不在项目的成员列表中导致的。 【解决方案】 1.点击“Window” —— “General” —— “Service”(或者直接快捷键 ctrl + 0) 2.点击“ne
DO280OpenShift访问控制--管理项目和账户
IT民工金鱼哥,专注运维技术。
06-23 491
第五章 DO280OpenShift访问控制--管理项目和账户
Openshift服务部署中的权限控制
cloudvtech的博客
05-07 5358
一、前言Openshift具有很优秀的权限管理机制,提供非常细粒度的权限管理。访问Openshift平台服务的方式包括GUI、命令行、API、POD运行的权限,而可能的访问实体包括自然用户、外部应用程序、内部模块、POD内程序。这些不同的访问方式和访问实体需要使用灵活的机制去进行权限赋予和权限认证。自然用户访问Openshift平台的时候凭借用户名和密码或者kubeconfig的key文件可以在进...
OpenShift 4 - 验证 Pod 内部容器 使用 CA 和 ServiceAccount Token访问API服务
多恩斯基的博客
06-09 675
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录部署测试应用在容器内部访问API服务 部署测试应用 部署测试应用 $ oc new-app openshift/hello-openshift $ oc expose svc hello-openshift $ curl $(oc get route hello-openshift -o template --template '{{.spec.host}}') Hello OpenShift!
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
Openshift API Token生成方法
炮哥技术分享
01-21 3064
概述 openshift API的调用机制遵循OAuth 2.0机制,在调用API进行操作前需要先获取access token,然后拿着这个token再去调用相应的API。 open shift中提供了两种形式的token,一个是session token ,一个是service account token.前者有效期24小时,后者长期有效,但是后者是属于某一 namespace,而且能调用的AP...
Openshift核心概念
tangbiao的专栏
10-19 3627
简述下面的主题提供了在使用OpenShift容器平台时将遇到的核心概念和对象的高级、体系结构信息。这些对象中的许多都来自于Kubernetes,它由OpenShift容器平台扩展,以提供一个功能更丰富的开发生命周期平台。 Containers and images 是部署应用程序的构建块。 Pods and services允许容器相互通信和代理连接。 Projects and users为社区提供
openshift oc的常用命令
THMAIL的博客
09-04 7877
1. 登录:oc login 2. 创建一个新项目:oc new-project ProjectName 创建一个项目(ProjectName新建的项目名) 3. 查看当前项目下的pod: oc get pod 4. 查看project: oc get project 5. 进入一个project: oc project projectname 6. build 一份代码镜像: oc n...
openshift 学习笔记-6 secret and quota
vito
10-18 3985
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
按照OpenShift教程,执行的记录-保存一份(安装一个oc命令,结尾有下载地址)
随笔记录-分享&记忆
03-22 9446
链接: https://pan.baidu.com/s/1pLHdmx9 密码: rvqm
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
openshift 学习笔记-4 Jenkins
vito
10-16 2374
准备jenkins环境1、登录opeshift:oc login -u admin https://127.0.0.1:8443 2、创建名称为ci的项目:oc new-project ci 3、下载导入jenkins模板:oc create -f jenkins-ephemeral.yaml 4、创建jenkins$ oc new-app --template=jenkins-ephemer
openshift常用命令总结-每天学一条-持续更新
haiziccc的专栏
04-21 6224
oc get nodes //获取集群所有节点 oc describe node node-name //查看对应节点详细信息,可以看到运行在该节点下的pod oc get pods -n namespace-name //查看对应namespace下pod oc describe pod pod-name -n namespace-name //查看pod详细信息 oc get limitr...
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值