Kubernetes中的service account

最新推荐文章于 2024-06-18 23:08:28 发布
最新推荐文章于 2024-06-18 23:08:28 发布
阅读量7.1k 收藏 4
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiyuanke/article/details/87373217
版权

service account,顾名思义,主要是给service使用的一个账号。

具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。

kubernetes中,每个命名空间默认会有一个名为“default”的service accout,如:

#其中k8s-example1是之前手工创建的一个service account
$kubectl get serviceAccount --namespace=default
NAME           SECRETS   AGE
default        1         23h
k8s-example1   1         31m

service account中最主要的内容是一个secret资源,其中包含了认证所需的token、根CA等。

$kubectl get serviceAccount default --output=yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2019-02-14T10:03:21Z"
  name: default
  namespace: default
  resourceVersion: "325"
  selfLink: /api/v1/namespaces/default/serviceaccounts/default
  uid: c2b7b49b-303f-11e9-91a6-0800274138bb
secrets:
- name: default-token-bwq8p


#default-token-bwq8p 中的内容如下
$kubectl get secret default-token-bwq8p --output=yaml
apiVersion: v1
data:
  ca.crt: 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
  namespace: ZGVmYXVsdA==
  token: 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
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: default
    kubernetes.io/service-account.uid: c2b7b49b-303f-11e9-91a6-0800274138bb
  creationTimestamp: "2019-02-14T10:03:21Z"
  name: default-token-bwq8p
  namespace: default
  resourceVersion: "322"
  selfLink: /api/v1/namespaces/default/secrets/default-token-bwq8p
  uid: c2be7873-303f-11e9-91a6-0800274138bb
type: kubernetes.io/service-account-token

其中data字段下包含三部分内容,都是base64编码后的内容。

ca.crt: 集群api server使用的根CA,基于该CA会签发一系列的服务端证书、客户端证书等。

namespace: service account的名称,base64 解码之后,可以看到就是 “default”

token: 认证用的令牌Token

认证用的用户名默认为:

system:serviceaccount:(NAMESPACE):(SERVICEACCOUNT)

 

大致机制介绍完了,很自然会有一个问题:

Pod中的进程、服务从什么地方去获取service account中包含的secret数据????

 

这个是kubernetes在启动一个Pod的过程中,“自动”注入到Pod下的所有容器中的。

pod的manifest文件和service account的manifest文件中都有一个配置字段:

automountServiceAccountToken: false/true

来控制是否自动注入。

注入的具体位置可以查看一个pod的manifest文件,比如:

$kubectl get pod security-context-demo --output=yaml
apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{},"name":"security-context-demo","namespace":"default"},"spec":{"containers":[{"image":"gcr.io/google-samples/node-hello:1.0","name":"sec-ctx-demo","securityContext":{"allowPrivilegeEscalation":false},"volumeMounts":[{"mountPath":"/data/demo","name":"sec-ctx-vol"}]}],"securityContext":{"fsGroup":20000,"runAsUser":8000},"volumes":[{"emptyDir":{},"name":"sec-ctx-vol"}]}}
  creationTimestamp: "2019-02-15T08:37:10Z"
  name: security-context-demo
  namespace: default
  resourceVersion: "23058"
  selfLink: /api/v1/namespaces/default/pods/security-context-demo
  uid: e28423a0-30fc-11e9-91a6-0800274138bb
spec:
  containers:
  - image: gcr.io/google-samples/node-hello:1.0
    imagePullPolicy: IfNotPresent
    name: sec-ctx-demo
    resources: {}
    securityContext:
      allowPrivilegeEscalation: false
      procMount: Default
    terminationMessagePath: /dev/termination-log
    terminationMessagePolicy: File
    volumeMounts:
    - mountPath: /data/demo
      name: sec-ctx-vol
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: default-token-bwq8p
      readOnly: true

最后的mountPath中:mountPath: /var/run/secrets/kubernetes.io/serviceaccount

可以登陆到该container中验证具体注入的文件。

 

这块儿没理解的一点是:为什么会有这种需求??为什么pod中的进程、服务要访问kubernetes集群??

一般理解,pod中承载的都是一些业务需求,不应该理会平台层的东西。

 

走到这一步,可能都想试一下,怎么在pod中访问kubernetes集群的服务,这个可以参考 client-go,

mac上安装golang语言后,拉一下代码

go get k8s.io/client-go

 

具体的代码位置:go/src/k8s.io/client-go/examples/in-cluster-client-configuration,同目录下自带了一个Dockerfile文件,方便打包image

 

// Note: the example only works with the code within the same release/branch.
package main

import (
	"fmt"
	"time"

	"k8s.io/apimachinery/pkg/api/errors"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/client-go/kubernetes"
	"k8s.io/client-go/rest"
	//
	// Uncomment to load all auth plugins
	// _ "k8s.io/client-go/plugin/pkg/client/auth
	//
	// Or uncomment to load specific auth plugins
	// _ "k8s.io/client-go/plugin/pkg/client/auth/azure"
	// _ "k8s.io/client-go/plugin/pkg/client/auth/gcp"
	// _ "k8s.io/client-go/plugin/pkg/client/auth/oidc"
	// _ "k8s.io/client-go/plugin/pkg/client/auth/openstack"
)

func main() {
	// creates the in-cluster config
	config, err := rest.InClusterConfig()
	if err != nil {
		panic(err.Error())
	}
	// creates the clientset
	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
		panic(err.Error())
	}
	for {
		pods, err := clientset.CoreV1().Pods("").List(metav1.ListOptions{})
		if err != nil {
			panic(err.Error())
		}
		fmt.Printf("There are %d pods in the cluster\n", len(pods.Items))

		// Examples for error handling:
		// - Use helper functions like e.g. errors.IsNotFound()
		// - And/or cast to StatusError and use its properties like e.g. ErrStatus.Message
		_, err = clientset.CoreV1().Pods("default").Get("example-xxxxx", metav1.GetOptions{})
		if errors.IsNotFound(err) {
			fmt.Printf("Pod not found\n")
		} else if statusError, isStatus := err.(*errors.StatusError); isStatus {
			fmt.Printf("Error getting pod %v\n", statusError.ErrStatus.Message)
		} else if err != nil {
			panic(err.Error())
		} else {
			fmt.Printf("Found pod\n")
		}

		time.Sleep(10 * time.Second)
	}
}

 

韦远科
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
20 名词解释 Service Account
邓乐来Jacob的博客
06-29 2637
Service AccountService account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同User account是为人设计的,而service account则是为Pod的进程调用Kubernetes API而设计;User account是跨namespace的,而service account则是仅局限它所...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 1952
梳理出ServiceAccount服务账号一条线
K8S ServiceAccount
summer_fish的专栏
08-07 1960
一、ServiceAccount通常被用于授权Pod与集群的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
K8s安全实践:使用ServiceAccount为应用程序授权
最新发布
zgt_certificate的博客
06-18 412
当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限。无需单独为某个用户创建权限,统一为这个组名进行授权,所有的用户都可以以组的身份访问资源。测试:只要O字段都是dev,这些用户持有的kubeconfig文件都拥有相同的权限。Kubernetes的默认授权策略,动态配置策略(修改即时生效)。通过RBAC可以实现对不同用户或服务账号的精细化权限控制。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7587
KubernetesService Account 是如何工作的
kubernetes为何需要默认的serviceaccount
MyySophia的博客
04-26 834
Kubernetes ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
025 Kubernetes认证及serviceaccount.mp4
05-07
025 Kubernetes认证及serviceaccount.mp4
pod-reader:使用kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本
02-11
使用Kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本。 构建容器后,预期用途如下: $ kubectl run pod-explorer --image=pod-explorer:1.0 -- $ kubectl logs pod-explorer 使用此容器...
gcp-serviceaccount-controller:这是一个控制器,可自动创建gcp服务帐户并将其保存到kubernetes机密
05-27
该控制器通过kubernetes资源管理gcp服务帐户。 可以在Kiwigrid头盔存储库找到“头盔”图表。 通过以下方式添加: helm repo add kiwigrid https://kiwigrid.github.io 可以在以下位置找到Helm图表来源: 特征...
Key concepts in Kubernetes
11-14
Kubernetes Service 是一种抽象的资源对象,用于暴露应用程序的访问接口。Service 可以将多个 pod 绑定到一个访问接口上,从而提供负载均衡和服务发现的功能。 Ingress Ingress 是一种特殊的 Service,用于...
Programming Kubernetes
03-16
2. **Service Account**:每个Pod都有默认的服务账户,用于在集群内进行身份验证。 3. **TLS Bootstrapping**:用于节点和控制平面组件之间的安全通信。 4. **Network Policies**:定义Pod间通信规则,增强网络安全...
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1140
通过本文,我们深入了解了Kubernetes权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod获取ServiceAccount提供的令牌进行身份验证。
Kubernetes Pod使用Service Account访问API Server
xiaomin1991222的专栏
03-10 537
Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。 然而,在生产环境Kubernetes API Server都是“设防”的。在《Kubernetes集群的安全配置》一文,我提到过:Kubernetes通过client cert、static toke...
ServiceAccount深度解析
qq_61039408的博客
08-07 948
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
K8sService Account和RBAC
l1727377的博客
12-16 2295
①.ServiceAccount(服务账户)是Kubernetes集群的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
在 kubectl 使用 Service Account Token
Kubernetes中文社区
08-24 2711
在运行基于 Kubernetes 的 CI/CD 过程,经常有需求在容器Kubernetes 的资源进行操作,其隐藏的安全问题,目前推荐的最佳实践也就是使用 Service Account 了。而调试账号能力的最好方法,必须是 kubectl 了。下面就讲讲如何利用 kubectl 引用 Servie Account 凭据进行 Kubernetes 操作的方法。 这里用 def
GCP的服务账户(Service Account)
gavin in IT
04-07 834
但是我们在Python逻辑处理的时候,需要访问某个PJ的BigQuery的数据,但是A没有访问权限,管理员出于权限管理的考虑,给了你一个可以访问该BigQuery的Service Account,叫B;其实在这种情况下,A只是负责CloudRun运行的,可视为从始至终的Service Account,只不过在处理Bigquery的时候,是需要配置的。定义一些Service Account,可以给不同的User或者不同的服务提供不同的Service Account,进行一些权限方面的管理。
Kubernetes详解(四十九)——ServiceAccount实战
永远是少年
05-09 1886
今天继续给大家介绍Linux运维相关知识,本文主要内容是ServiceAccount实战。 一、ServiceAccount创建 二、ServiceAccount应用
k8s 创建ServiceAccount示例
06-01
好的,以下是一个在 Kubernetes 创建 ServiceAccount 的示例: 1. 创建一个 YAML 文件,例如 `sa-example.yaml`,并添加以下内容: ``` apiVersion: v1 kind: ServiceAccount metadata: name: my-service-account ``` 在这个 YAML 文件,我们定义了一个名为 `my-service-account` 的 ServiceAccount。 2. 执行以下命令创建 ServiceAccount: ``` kubectl apply -f sa-example.yaml ``` 这将在 Kubernetes 创建一个新的 ServiceAccount。 3. 执行以下命令获取 ServiceAccount 的详细信息: ``` kubectl describe sa my-service-account ``` 在输出,你可以看到 ServiceAccount 的名称和自动生成的 Secret 名称。 4. 可以使用以下命令将 ServiceAccount 绑定到一个或多个角色: ``` kubectl create rolebinding my-role-binding --role=my-role --serviceaccount=default:my-service-account ``` 其,`my-role-binding` 是绑定的名称,`my-role` 是角色的名称,`default` 是 ServiceAccount 所在的命名空间,`my-service-account` 是 ServiceAccount 的名称。 通过这个示例,你可以了解如何在 Kubernetes 创建 ServiceAccount,并将其绑定到角色以授予其所需的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值