OpenShift 4 - Pod是如何使用Serivce Account访问API的

最新推荐文章于 2022-09-20 10:02:13 发布
最新推荐文章于 2022-09-20 10:02:13 发布
阅读量236 收藏
点赞数
分类专栏: OpenShift 4 ServiceAccount CA 文章标签: openshift security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107856823
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
ServiceAccount
4 篇文章 1 订阅
订阅专栏
CA
1 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总

  1. 进入OpenShift自带的terminal项目的pod。
$ oc rsh $(oc get pod -n terminal -l=app=terminal -o jsonpath="{ .items[0].metadata.name }")
  1. 查看pod里serviceaccount目录中的资源
sh-4.2$ ls -l /var/run/secrets/kubernetes.io/serviceaccount
total 0
lrwxrwxrwx. 1 root root 13 Aug  6 23:45 ca.crt -> ..data/ca.crt
lrwxrwxrwx. 1 root root 16 Aug  6 23:45 namespace -> ..data/namespace
lrwxrwxrwx. 1 root root 21 Aug  6 23:45 service-ca.crt -> ..data/service-ca.crt
lrwxrwxrwx. 1 root root 12 Aug  6 23:45 token -> ..data/token

其中:

  • ca.crt - OpenShift的CA证书
  • namespace - 当前命名空间
  • service-ca.crt - OpenShift服务的CA证书
  • token - 访问OAuth的Service Account的Token
  1. 使用ca.crt和token访问API Service
sh-4.2$ curl --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://kubernetes.default.svc
{
  "paths": [
    "/api",
    "/api/v1",
    "/apis",
    "/apis/",
    "/apis/admissionregistration.k8s.io",
    "/apis/admissionregistration.k8s.io/v1",
    "/apis/admissionregistration.k8s.io/v1beta1",
    "/apis/apiextensions.k8s.io",
    "/apis/apiextensions.k8s.io/v1",
    "/apis/apiextensions.k8s.io/v1beta1",
    "/apis/apiregistration.k8s.io",
    "/apis/apiregistration.k8s.io/v1",
    "/apis/apiregistration.k8s.io/v1beta1",
    "/apis/apps",
    ...
  ]
}
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshiftpod自动缩放初探
脑声常谈
02-17 808
HPA(Horizontal Pod Autoscaler)是Openshift中的一个非常重要的对象,它定义了系统如何根据收集对应的Pod的状态(CPU/Memory)对DeploymentConfig、ReplicationController对象进行扩容与缩容。 HPA依赖于收集到的Pod资源的使用状态,要监控的指定的pod必须 安装cluster metrics应用和设置spec.cont...
openshift常用命令(转载)
完颜振江
09-20 749
openshift常用命令(转载)
OpenShift 4 - 验证 Pod 内部容器 使用 CA 和 ServiceAccount Token访问API服务
多恩斯基的博客
06-09 596
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录部署测试应用在容器内部访问API服务 部署测试应用 部署测试应用 $ oc new-app openshift/hello-openshift $ oc expose svc hello-openshift $ curl $(oc get route hello-openshift -o template --template '{{.spec.host}}') Hello OpenShift!
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 824
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShift 或 Kubernetes 的客户端每次向 OpenShift或 Kubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
Openshift API调用方法
炮哥技术分享
01-21 3011
概述 请思考以下场景: 你们已经有了一套发布平台,用于生产环境或者开发,测试,预发布和生产都已经在使用了,然后你也想推广容器平台,但是容器平台的界面和现有的发布平台是割裂的,而且现有的数据也没法用到容器平台,要怎么做才能实现两个平台的整合呢? 解决思路: 由于没有大规模使用过容器来跑业务应用,你希望把容器平台作为测试环境,那么你可以这样做,把生成Dockerfile和Template的界面移到发布...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。... bastion-ssh和bastion-scp-使用ssh堡垒访问群集节点。 install-custom-kubelet-将自定义kubelet安装到集群中。 set-worker-parameters-设置各种kubelet参
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
kcli-openshift4-baremetal:使用专用虚拟机部署裸机ipi
03-18
openshift-baremetal-install是从源代码下载或编译的(带有要应用的PR号的附加列表) 停止节点通过ipmi进行部署 针对一组裸机节点启动安装。虚拟主机也可以部署。 为什么 在配置节点上使用bare minimum部署bare ...
servicepod怎么关联的
猿的进化
03-08 7559
当我们创建pod时,仅仅是创建了pod,要为其创建rc(ReplicationController),他才会有固定的副本,然后为其创建service,集群内部才能访问pod使用 NodePort 或者 LoadBalancer 类型的 Service,外部网络也可以访问pod;每个 service 会创建出来一个虚拟 ip,通过访问 vip:port 就能获取服务的内容(内部访问,因为这是一...
openshift 获取pod log总结
haiziccc的专栏
04-21 1431
openshift获取pod log参照如下步骤: oc describe pod pod-name -n namespace-name|grep node //获取该pod运行在哪个节点 登录到该节点 docker ps -a|grep pod-name //获取containID(这个是containID前12位) docker inspect -f '{{.ID}}' containI...
OpenShift 4 之Service Mesh教程(3)- 访问流量管理
多恩斯基的博客
01-05 544
本文操作要改变Fontend微服务的流量分发策略,以达到控制分发到Backend_v1和Backend_v2访问流量的目的。 访问流量分发可以通过以下两种方式进行设置: 文章目录使用Kiali控制台设置流量分发使用YAML和命令设置流量分发 使用Kiali控制台设置流量分发 在Kiali控制台进入Services->backend,点击Action,在下拉菜单中选择Create Weig...
OpenShift 4 - 通过 REST API 操作 OpenShift
多恩斯基的博客
12-07 1550
OpenShift 4 - 通过 REST API 操作 OpenShift说明获取项目列表新建my-project项目获得my-project项目的信息获取cakephp-mysql-example模板根据cakephp-mysql-example模板创建应用获取my-project项目中所有Pod获取my-project项目中名为XXX的Pod删除my-project项目中名为XXX的Pod获...
openshift资源及权限命令
nejore的博客
06-02 188
openshift资源及权限命令
openshift pod对外访问网络解析
weixin_33826268的博客
03-20 829
openshift封装了k8s,在网络上结合ovs实现了多租户隔离,对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift(3):网络之 SDN,删除了原图的IP) openshift版本如下: # openshift version openshift v3.6.173.0.5 kub...
OpenShift 4 - 通过Service的nodePort访问应用
多恩斯基的博客
12-11 1828
OpenShift中,通常我们是根据Service生成Route对象来为外部客户端提供一个访问应用的地址。不过也可以不通过Route,而是直接在Node上开一个nodePort来访问Service(虽然这种方式一般不在生产环境中使用)。这种方式的实现机制如下图,当为Service定义了nodePort后,Openshift会在每个对应Node打开nodePort端口(如下图30001),这样当客...
openshift/origin工作记录(10)——openshift pod无法访问外网的解决方案
个人学习记录
07-09 1673
编辑主机上的/etc/dnsmasq.d/origin-dns.conf文件,添加相应的DNS服务器,格式为: server=DNS服务器 说明:可添加多个,如: server=218.85.152.99 server=114.114.114.114 重启dnsmasq,使更改生效 systemctl restart dnsmasq.service systemctl resta...
OpenShift 4 - 获取能访问API服务的用户认证Token
多恩斯基的博客
06-10 1515
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录方法1方法2方法3参考 方法1 $ oc login -u admin -p password $ oc whoami -t sha256~LhbScBPjgsa_fyQTg-JM7UNDc-M3ZPyrdT1oH9hTIB8 方法2 获取OpenShift的Oauth服务访问地址。 $ OAUTH=$(oc get route oauth-openshift -n openshift-aut
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值