curl 访问k8s api-server

已于 2023-11-03 15:46:01 修改
阅读量364 收藏
点赞数
分类专栏: k8s 文章标签: linux 运维 服务器
于 2023-07-14 23:05:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoleiaixiongrui/article/details/131732255
版权

curl 显示响应时间:

curl -w '\nLookup time:\t\t%{time_namelookup}s\nConnect time:\t\t%{time_connect}s\nAppCon time:\t\t%{time_appconnect}s\nPretransfer time:\t%{time_pretransfer}s\nRedirect time:\t\t%{time_redirect}s\nStarttransfer time:\t%{time_starttransfer}s\nTotal time:\t\t%{time_total}s\n' -s Example Domain

  • time_namelookup:域名解析时间
  • time_connect:连接建立时间
  • time_appconnect:TLS握手时间
  • time_pretransfer:传输之前的等待时间
  • time_redirect:重定向时间
  • time_starttransfer:传输开始时间

curl 访问k8s 资源,可以用token 方式,也可以用证书方式,也可以两者同时使用

获取k8s api-server 的地址:

kubectl cluster-info 

kubectl get svc kubernetes  443 端口

kubectl get ep kubernetes 6443 端口

token 访问:

curl --header "Authorization: Bearer $token"  https://10.0.0.1:6443/api/v1/namespaces/kube-system/configmaps/kubeadm-config

方法1,配置文件创建sa 以及clusterrolebinding

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: kube-system 
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: my-service-account
  namespace: kube-system

使用kubectl describe secret admin-user-token-xxx -n kube-system 获取token

方法2:

命令行创建sa以及clusterrolebinding

kubectl create sa my-service-account

kubectl create clusterrolebinding my-service-account-binding --clusterrole=view --serviceaccount=default:my-service-account

kubectl get secret $(kubectl get sa my-service-account -o jsonpath="{.secrets[0].name}") -o jsonpath="{.data.token}" | base64 --decode

注:

将ServiceAccount与ClusterRoleBinding对象绑定时,Kubernetes会自动创建一个ServiceAccount Token对象。这个Token对象是一个Secret对象,用于存储ServiceAccount的令牌。该Token对象的名称与ServiceAccount对象的名称相同,并包含一个随机生成的Token字符串。

get secret 的证书是经过base64 编码的,解码-d

describe secret 是解码后的,可以直接用

k8s 内置的 clusterrole

kubectl get clusterrole view
kubectl get clusterrole -n kube-system cluster-admin

view ClusterRole对象允许用户或服务账号查看集群中的资源,但不允许进行修改或删除等操作。

kube-system cluster-admin 允许用户或服务账号在整个集群中进行任何操作,包括创建、修改和删除资源等。

都是Kubernetes内置的ClusterRole对象。
Kubernetes内置的ClusterRole对象包括:

view:允许用户或服务账号查看资源,但不允许进行修改或删除等操作。
edit:允许用户或服务账号查看和修改资源,但不允许删除资源等重要操作。
admin:允许用户或服务账号查看、修改和删除资源,但不允许访问集群级别的操作,例如节点和存储等资源。
cluster-admin:允许用户或服务账号在整个集群中进行任何操作,包括创建、修改和删除资源等。这是一个最高权限的ClusterRole对象,应该谨慎使用。

证书访问:

直接使用k8s 的证书。

方法1:

grep client-cert ~/.kube/config |cut -d" " -f 6 | base64 -d  > client.crt

grep client-key-data ~/.kube/config |cut -d" " -f 6 | base64 -d > client.key

grep certificate-authority-data ~/.kube/config |cut -d" " -f 6  | base64 -d >ca.crt

方法2:

kubectl config view --raw --minify --output 'jsonpath={..client-certificate-data}' | base64 --decode > client.crt

kubectl config view --raw --minify --output 'jsonpath={..client-key-data}' | base64 --decode > client.key

kubectl config view --raw --minify --output 'jsonpath={..certificate-authority-data}' | base64 --decode > ca.crt

方法1 ,和方法2 都可以获取k8s 的客户端证书,客户端私钥,以及ca证书;获取的数据是一样的,已验证

curl --cert ./client.pem --key ./client-key.pem --cacert ./ca.pem https://10.0.0.1:6443/api/v1/namespaces/kube-system/configmaps/kubeadm-config

lily-linux
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s-ddns:为CoreDNS部署Kubernetes ExternalDNS
05-09
Kubernetes(简称k8s)环境中,DNS解析是服务发现的关键部分,它使得应用能够通过服务名相互访问。CoreDNS作为Kubernetes的官方DNS服务器,负责为集群内的服务提供DNS解析服务。然而,对于集群外部的访问,比如从...
使用curl直接访问Kubernetes apiServer
J. Cole
12-22 734
首先,运行kubectl proxy命令让apiServer在本地端口运行: ubuntu@perf-calico-0:~$ kubectl proxy --port=8080 & [1] 19016 Starting to serve on 127.0.0.1:8080 用-v参数可以查看某个kubectl命令的详细日志,从而找到某个api的http方法url: ubuntu@perf-calico-0:~$ kbctl apply -f np -v 7 I1222 03:47:46.38230
K8S冲浪(2) - 使用curl访问api-server(方式一)
docker、kubernetes学习笔记
05-19 1361
今天让我们来体验一下,使用curl的方式访问api-server。 实验目标: 使用curl的方式,取得下面的bb-128这个POD的名称。 环境说明: 操作步骤: 第1步:在kube-system命名空间中创建一个serivceaccount: test-sa-2 从上图可以看到,创建后,它的Tokens目前为none: 第2步:准备一份yaml文件,创建secret对象,并绑定到test-sa-2. 创建secret对象: 查看一下: ...
如何利用curl命令访问Kubernetes API server
最新发布
05-24 203
如何用curl命令访问Kubenetes API server
如何使用curl访问k8sapiserver
chikuai9995的博客
06-24 1570
使用TOKEN授权访问api-serverk8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名...
如何用curl访问k8s api
RSQ博客
10-14 1947
1 创建Token devops_admin_token.yaml # Create ServiceAccount apiVersion: v1 kind: ServiceAccount metadata: name: devops-admin namespace: default --- # Create ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata:
curl不通 k8s_CURL探索Kubernetes API Server
weixin_39634443的博客
12-19 173
Kubernetes集群中,API Server是集群管理API的入口,由运行在Master节点上的一个名为kube-apiserver的进程提供的服务。用户进入API可以通过kubectl、客户端库或者http rest,User 或者 Service Account可以被授权进入API。当一个请求到达API时,往往要经过几个阶段的安全控制,在一个典型的应用集群中,API Server通常会使...
curl 命令访问 kubernetes API server
安心Smile的博客
06-16 5177
Kubernetes是一个完全基于API的系统。使用curl或Postman等简单工具,在构建应用程序之前获取API信息更方便。 要与Kubernetes API进行交互,您需要具有正确权限的ServiceAccount,通过(Cluster)Role和RoleBinding获得。使用ServiceAccount的token进行身份验证。 由于所有通信都通过TLS进行,因此您还需要自签名证书(c...
CentOS7安装k8s-v1.13.4.docx
04-26
生成Kubernetes控制平面所需的证书,如apiserverapiserver-kubelet-client、front-proxy-client等。 ```bash # ...(此处列出所有所需证书的生成命令) ``` #### 5. 创建 admin 证书: 生成一个admin证书,用于...
kubernetes-server-linux-amd64.tar.gz
08-28
Kubernetes(简称K8s)是Google开源的一款容器编排系统,它允许用户在集群上部署、管理和扩展容器化的应用。在这个场景中,我们关注的是针对Linux AMD64架构的Kubernetes 1.25.10服务器二进制安装包——"kubernetes-...
k8s二进制文件以及docker二进制文件
03-09
在master节点上执行:curl -s -S "https://registry.hub.docker.com/v2/repositories/$@/tags/" | jq '."results"[]["name"]' |sort 所有机器上执行: wget ...
linux-一键部署k8s集群就是这么任性
08-13
2. **安装依赖**:安装必要的依赖软件,如Docker、golang、openssl、curl等,这些是k8s组件运行的基础。 3. **配置网络插件**:k8s需要一种网络插件来实现Pod间的通信,如Calico、Flannel等。选择合适的网络插件并...
k8s配置curl
码农的专栏
04-01 293
一、在服务器目录:/root/jenkinsexcute/networkdockerimage。新建文件:networkutils.k8s.yml。新建一个Dockerfile文件打包镜像。
K8S---通过curl访问api
qq_41768644的博客
01-07 627
K8S 通过curl访问api的方式
k8s学习笔记——创建一个用于微服务测试的镜像(curl
潮落拾贝
04-19 2084
我在docker官网上没怎么找到有curl工具的镜像busybox内没有只有简单的网络命令。于是自己动手做了一个,方法如下: 创建Dockerfile文件 From ubuntu:latest #安装curl telnet 和常用ping ifconfig等网络命令 RUN apt-get update && apt-get install -y curl telnet net-tools 打包镜像上传至私有镜像仓库 //打包镜像 sudo docker build -t co
通过curl命令访问K8s API
运维@小兵的博客
03-06 2646
通过curl命令访问K8s API
Kubernetes笔记(三)--使用kubeadm搭建k8s集群(详尽)
BigData_Mining的博客
08-08 964
核心层:Kubernetes 最核心的功能,对外提供 API 构建高层的应用,对内提供插件式应用执行环境 应用层:部署(无状态应用、有状态应用、批处理任务、集群应用等)和路由(服务发现、DNS 解析等) 管理层:系统度量(如基础设施、容器和网络的度量),自动化(如自动扩展、动态 Provision 等)以及策略管理(RBAC、Quota、PSP、NetworkPolicy 等) 接口层:kube...
kubeadm工作原理-kubeadm init原理分析-kubeadm join原理分析
良凯尔的博客
03-27 4597
kubeadm工作原理-kubeadm init原理分析-kubeadm join原理分析。kubeadm是社区维护的Kubernetes集群一键部署利器,使用两条命令即可完成k8s集群中master节点以及node节点的部署,其底层原理是利用了k8s TLS bootstrap特性。
kubernetes 配置网络插件 flannel
weixin_30535043的博客
08-20 325
概述 在学习docker时知道docker有四种常用的网络模型 bridge:桥接式网络 joined:联盟式网络,共享使用另外一个容器的网络名称空间 opened:容器直接共享使用宿主机的网络名称空间 none:不使用任何网络名称空间   无论是哪一种网络方式都会导致如果我们跨节点之间的容器之间进行通信时必须要使用NAT机制来实现,任何pod在访问出去之前因为自己是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值