Pod 内是如何与 APIServer 进行交互的

已于 2023-05-07 01:12:15 修改
阅读量958 收藏 3
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 服务器 容器
于 2023-04-24 23:53:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45541397/article/details/130354859
版权

想要从Pod内部与API-Server 进行通信,只需要关注以下三件事情

  • 确定API服务器的位置
  • 确保是与API服务器进行交互,而不是一个冒名者
  • 通过服务器的认证,否则将不能查看 任何内容以及进行任何操作

运行一个pod来尝试与API服务器进行通信

apiVersion: v1
kind: Pod
metadata:
  name: curl
spec:
  containers:
  - name: main
    image: curlimages/curl
    command: ["sleep", "infinity"]
    tty: true

第一步:发现API服务器地址

首先,需要找到Kubemetes API 服务器的 IP 地址和端口。 这一 点比较容易做到, 因为一个名为kubernetes的服务在默认的命名空间被自动暴露,并被配置为指向 API 服务器

➜  ~ k get svc
NAME                      TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)                                                                 AGE
kubernetes                ClusterIP   172.18.2.1     <none>        443/TCP

每个服务都被配置了对应的环境变量, 在容器内通过查询 KUBERNETES_SERVICE_HOST 和 KUBERNETES_SERVICE_PORT 这两个环境变量 ;就可以获取 API 服务器的 IP 地址和端口

~ $ env | grep -i kubernetes_service
KUBERNETES_SERVICE_PORT=443
KUBERNETES_SERVICE_PORT_HTTPS=443
KUBERNETES_SERVICE_HOST=172.18.2.1   这个地址就是上面的kubernetes的service的地址

每个 service 都可以获得一个 DNS 入口,所以只需要简单的将 curl 指向 https://kubernetes 即可

会发现 curl 命令报错,这是未进行HTTPS校验(也就是要检查服务端的证书)

我们可以直接使用 -k 参数来跳过校验(但是不推荐:在真实的应用中, 永远不要跳过栓查服务器证书的环节。 这样做会导致你的应用验证凭证暴露给采用中间人攻击方式的攻击者 )

第二步:验证服务器的身份

k8s 创建的每个pod中的容器都会自动挂载一个secret 到容器的 /var/run/secrets/kubemetes.io/serviceaccount 目录下

这个目录下有三个东西

ca.crt 就是 CA 的证书,用来对 Kubemetes API 服务器证书进行签名

namespace 就是当前的 pod 所在的命名空间

curl 允许使用 -cacert 选项来指定 CA 证书或者直接通过设置 CURL_CA_BUNDLE环境变量 ,而不必在每次运行curl时都指定 --cacert 选项; 我们来尝试重新访问 API 服务器

export CURL_CA_BUNDLE=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

~ $ curl https://kubernetes
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
 "message" : "Unauthorized" ,
 "reason" : "Unauthorized" ,
  "code": 401
  }

会发现返回了未授权的信息,这表明我们的客户端 curl 现在信任服务器,但是API服务器并不确认访问者的身份, 所以 API-Server 没有授权允许访问

第三步:获取API服务器授权

为了获得授权, 我们需要认证的凭证,这个凭证就在 token 文件中

TOKEN=$( cat /var/run/secrets/kubernetes.io/serviceaccount/token)

curl -H "Authorization: Bearer $TOKEN" https://kubernetes
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
 "message" : "forbidden: User "system:serviceaccount:default:default" cannot get path "/"" ,
 "reason" : "Forbidden" ,
  "details": {},
  "code": 403
}

我们再次访问发现还是访问不了,但是这次报错信息是 Forbidden 信息,说明授权过了,但是访问资源的权限有限,默认的服务账号 default 不允许访问 api-server 下的根目录 / 的权限

我们调整资源访问路径,比如获取当前pod所在命名空间中的所有pod清单

$ curl -H "Authorization: Bearer $TOKEN" https://kubernetes/api/v1/namespaces/default/pods > txt && vi txt

{
  "kind": "PodList",
  "apiVersion": "v1",
  "metadata": {
    "resourceVersion": "777954"
  },
  "items": [
    {
      "metadata": {
        "name": "redis",
        "generateName": "redis",
        "namespace": "default",
        "uid": "d4889bd4-f0da-42e1-8b8b-8f84d4db208f",
        "resourceVersion": "283684",
        "creationTimestamp": "2023-04-06T13:17:02Z",
        "labels": {
        ...
        },
        "annotations": {
          "sidecar.istio.io/inject": "false"
        },
 ....

可以发现能看到 default 空间内的所有的pod的资源信息

注意:上面的Token代表的是这个pod所绑定的ServiceAccount的访问权限

默认情况下,default ServiceAccount 拥有以下权限:

  1. 访问自身的 API 对象:default ServiceAccount 可以获取、创建、更新和删除与自身相关的 Kubernetes API 对象,如 Pod、Service、ReplicationController 等。
  2. 访问自身命名空间的 API 对象:default ServiceAccount 可以获取、创建、更新和删除该命名空间下的 Kubernetes API 对象,如 Pod、Service、ReplicationController 等。
  3. 访问所有命名空间的 API 对象:default ServiceAccount 可以获取、列出其他命名空间下的 Kubernetes API 对象,但不能创建、更新和删除。
  4. 访问 Kubernetes API 集群范围的对象(就是不属于任何Namespace的对象,如 Node、PV、PVC):default ServiceAccount 可以获取、列出 Kubernetes API 集群范围的对象,如 Namespace、Node 等,但不能创建、更新和删除。

注意:这里凭证代表的是当前这个pod绑定的ServiceAccount的身份,所以这个token能访问到的资源的权限就是这个ServiceAccount所绑定的Role的相关权限

就可以理解为 token 是一个身份的象征,这个身份就是 ServiceAccount,而拿到这个 token 所能操作的权限就是这个身份所绑定的 Role 的指定权限

k8s流控平台apiserver详解
m0_51586984的博客
06-28 2255
panic处理,不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群, 开始做数据传输是http协议,header过来的时候加一点信息,集群联邦过来的时候改一点信息max-in-flight:做限流的,多少在路上,上限是多少,是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象,是的话,判断不是的话json做反序列化为go的对象做conversion。
Kubernetes组件_APIServer_证书_02_K8S内部交互架构和所有证书
毛毛的专栏
03-12 2881
所有证书作用
K8S ApiServer各个pod是如何访问kube-apiserver的?
学亮编程手记
11-05 567
这样一来,其他pod访问kube-api-server的整个流程就是:pod创建后嵌入了环境变量,pod获取到了kubernetes这个服务的ip和443端口,请求到kubernetes这个服务其实就是转发到了master节点上的6443端口的kube-api-server这个pod里面。这个服务的ip地址是clusterip地址池里面的第一个地址,同时这个服务的yaml定义里面并没有指定标签选择器,在命名空间的kube-system命名空间里,有一个名称为kube-api-master的pod
pod 通过 serviceAccount 访问 ApiServer
WayJasy的博客
09-07 763
pod 通过 serviceAccount 访问 k8s Apiserver
pod访问kubernetes API server
russle的专栏
04-05 6128
本文接上一篇介绍如何从pod内部访问kubernetes API server。 所有的pod默认都关联上一个serviceAccount,只要该serviceAccount有权限访问访问的资源对象,就可以直接访问。 我们使用default namespace中default serviceAccount, 提前创建了一个role并将default和该role进行roleBinding。 前提 ...
基于RBAC方式从Pod访问API server
u013431916的博客
04-23 4679
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
k8s笔记——Client-go 4种客户端Kubernetes API Server 交互
最新发布
e891377的专栏
05-29 1028
Client-Go 共提供了 4 种 Kubernetes APIServer 交互的客户端。分别是 RESTClient、DiscoveryClient、ClientSet、DynamicClient。
helm怎么apiserver交互
06-10
Tiller是一个Kubernetes Pod,它通过Kubernetes APIAPI服务器进行通信,并执行Helm相关的操作。用户在使用Helm时,实际上是Tiller进行交互,并通过Tiller将操作发送到Kubernetes API服务器。在Helm v3中,...
Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 1949
四个静态Pod Yaml文件解析
kube-apiserver.rar
01-09
2. **kube-controller-manager**:运行多个内置控制器,如ReplicationController、StatefulSetController等,它们周期性地apiserver交互,维护资源的期望状态。 3. **kubelet**:在每个节点上运行,它直接api...
pod中使用脚本 curl 访问 kubernates的apiserver接口
qq_38371367的博客
04-16 1398
参考官方,自己记录一下 前言 本文仅记录使用 curl shell命令访问集群的apiserver,其他开发语言库可以在官方处找到: 客户端库: https://kubernetes.io/zh/docs/reference/using-api/client-libraries/ 官方从 Pod访问 Kubernetes API描述: https://kubernetes.io/zh/docs/tasks/run-application/access-api-from-pod/ 访问 REST API
Pod访问 Kubernetes API
zgn666的博客
07-26 588
# 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat ${SERVICEACCOUNT}/token) # 引用内部.
win节点pod无法连接到apiserver的svc
记录有价值的内容
09-03 562
win节点pod无法连接到apiserver的svc 1. 错误现象 pod无法连接api-server 转存失败重新上传取消 flannel 日志有问题无法连接 2. 问题原因及解决方法 问题原因 win节点中有两个网卡,kubelet在往etcd写nodeIP的时候选择的不是flannel的那张网卡,选择的那张网卡不是k8s的业务网卡,kube-proxy做地址伪装的时候就也给了一个错的地址。 解决方法 重启kubelet 设定那个nod
kubeletapi-server交互
focus on security
07-03 3967
kubelet创建成功后,会将状态回写api-server,通知落到该node上的pod已经创建成功,分析两者如何交互。 syncLoop有个for循环,主要运行syncLoopIteration,并且和pleg组件有交互。 func (kl *Kubelet) syncLoopIteration(configCh <-chan kubetypes.PodUpdate, handler SyncHandler, syncCh <-chan time.Time, housekeep.....
如何优雅的让 Pod 通过 ServiceAccount 访问 K8s api-server
云原生实验室
02-06 792
❝本文转自掘金 LEE 的博客,原文:https://juejin.cn/post/7195842444302123069,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang事件背景某天早上刚到公司工位上,正准备开会。被一个业务组项目负责人抓住了,然后着急的说到:“老李啊,跟你说。昨天晚上准备要上线的 Ingressroutes 监控分析模块不能上线了,现在导致我...
如何通过 ServiceAccount 让 Pod 优雅访问 Kubernetes Api-Server
easylife206的专栏
01-02 331
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !事件背景某天早上刚到公司工位上,正准备开会。被一个业务组项目负责人抓住了,然后着急的说到:“老李啊,跟你说。昨天晚上准备要上线的 Ingressroutes 监控分析模块不能上线了,现在导致我们这边的数据清洗模块,根据计划今天下午应该能对接接收数据的。现在怎么办?”,我突然一愣,怎么回事?然后找昨天晚上负责的运...
K8S内部pod之间相互调用案例和详解
热门推荐
soliso
11-22 1万+
yaml文件编写,及K8S内部pod之间相互调用
K8S面试题学习
wyx的博客
04-18 1228
Minikube 是一种可以在本地轻松运行一个单节点 Kubernetes 群集的工具;Kubectl 是一个命令行工具,可以使用该工具控制Kubernetes集群管理器,如检查群集资源,创建、删除和更新组件,查看应用程序;Kubelet 是一个代理服务,它在每个节点上运行,并使从服务器服务器通信;
K8s Pod IP 分配机制
weixin_45965192的博客
07-17 1155
Pod 作为 K8s 中一等公民,其承载了最核心的 Container(s) 的运行。同时,Pod 也是 K8s 中资源调度的最小单位,因此熟悉其初始化过程(包括网络、存储、运行时等)将会使我们更加深入理解 K8s 的容器编排原理,以期更好的服务各类业务。Pod 初始化核心流程如下:kube-apiserver 收到客户端请求(Controller 或 kubectl 客户端)后,创建对应的 Pod
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值