2. 程式人生 > 實用技巧 >如何用Frabic client以serviceAccount方式訪問k8s叢集

如何用Frabic client以serviceAccount方式訪問k8s叢集

阿新 發佈:2020-09-18

一. 以ServiceAccount的方式訪問k8s叢集

k8s支援客戶端通過serviceAccount與RBAC結合的方式訪問kube-apiserver,這種方式便於靈活控制賬戶許可權

1)建立serviceAccount與對應的secret

建立serviceAccount
使用指令碼:kubernetes_add_service_account.sh在qa-k8s-2-master叢集建立serviceAccount: test-sa1

#!/bin/bash
set -e
set -o pipefail

# Add user to k8s using service account, no RBAC (must create RBAC after this script)
if [[ -z "$1" ]] || [[ -z "$2" ]]; then
 echo "usage: $0 <service_account_name> <namespace>"
 exit 1
fi

SERVICE_ACCOUNT_NAME=$1
NAMESPACE="$2"
KUBECFG_FILE_NAME="/tmp/kube/k8s-${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-conf"
TARGET_FOLDER="/tmp/kube"

create_target_folder() {
    echo -n "Creating target directory to hold files in ${TARGET_FOLDER}..."
    mkdir -p "${TARGET_FOLDER}"
    printf "done"
}

create_service_account() {
    echo -e "\\nCreating a service account in ${NAMESPACE} namespace: ${SERVICE_ACCOUNT_NAME}"
    kubectl create sa "${SERVICE_ACCOUNT_NAME}" --namespace "${NAMESPACE}"
}

get_secret_name_from_service_account() {
    echo -e "\\nGetting secret of service account ${SERVICE_ACCOUNT_NAME} on ${NAMESPACE}"
    SECRET_NAME=$(kubectl get sa "${SERVICE_ACCOUNT_NAME}" --namespace="${NAMESPACE}" -o json | jq -r .secrets[].name)
    echo "Secret name: ${SECRET_NAME}"
}

extract_ca_crt_from_secret() {
    echo -e -n "\\nExtracting ca.crt from secret..."
    kubectl get secret --namespace "${NAMESPACE}" "${SECRET_NAME}" -o json | jq \
    -r '.data["ca.crt"]' | base64 -d > "${TARGET_FOLDER}/ca.crt"
    printf "done"
}

get_user_token_from_secret() {
    echo -e -n "\\nGetting user token from secret..."
    USER_TOKEN=$(kubectl get secret --namespace "${NAMESPACE}" "${SECRET_NAME}" -o json | jq -r '.data["token"]' | base64 -d)
    printf "done"
}

set_kube_config_values() {
    context=$(kubectl config current-context)
    echo -e "\\nSetting current context to: $context"

    CLUSTER_NAME=$(kubectl config get-contexts "$context" | awk '{print $3}' | tail -n 1)
    echo "Cluster name: ${CLUSTER_NAME}"

    ENDPOINT=$(kubectl config view \
    -o jsonpath="{.clusters[?(@.name == \"${CLUSTER_NAME}\")].cluster.server}")
    echo "Endpoint: ${ENDPOINT}"

    # Set up the config
    echo -e "\\nPreparing k8s-${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-conf"
    echo -n "Setting a cluster entry in kubeconfig..."
    kubectl config set-cluster "${CLUSTER_NAME}" \
    --kubeconfig="${KUBECFG_FILE_NAME}" \
    --server="${ENDPOINT}" \
    --certificate-authority="${TARGET_FOLDER}/ca.crt" \
    --embed-certs=true

    echo -n "Setting token credentials entry in kubeconfig..."
    kubectl config set-credentials \
    "${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-${CLUSTER_NAME}" \
    --kubeconfig="${KUBECFG_FILE_NAME}" \
    --token="${USER_TOKEN}"

    echo -n "Setting a context entry in kubeconfig..."
    kubectl config set-context \
    "${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-${CLUSTER_NAME}" \
    --kubeconfig="${KUBECFG_FILE_NAME}" \
    --cluster="${CLUSTER_NAME}" \
    --user="${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-${CLUSTER_NAME}" \
    --namespace="${NAMESPACE}"

    echo -n "Setting the current-context in the kubeconfig file..."
    kubectl config use-context "${SERVICE_ACCOUNT_NAME}-${NAMESPACE}-${CLUSTER_NAME}" \
    --kubeconfig="${KUBECFG_FILE_NAME}"
}

create_target_folder
create_service_account
get_secret_name_from_service_account
extract_ca_crt_from_secret
get_user_token_from_secret
set_kube_config_values

echo -e "\\nAll done! Test with:"
echo "KUBECONFIG=${KUBECFG_FILE_NAME} kubectl get pods"
echo "you should not have any permissions by default - you have just created the authentication part"
echo "You will need to create RBAC permissions"
KUBECONFIG=${KUBECFG_FILE_NAME} kubectl get pods

得到serviceAccount與對應secre

[root@qa-k8s-2-master ~]# bash /tmp/kubernetes_add_service_account.sh test-sa1 default
...
  
[root@qa-k8s-2-master ~]# kubectl get serviceaccount test-sa1 -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2019-06-10T09:20:55Z
  name: test-sa1
  namespace: default
  resourceVersion: "19622333"
  selfLink: /api/v1/namespaces/default/serviceaccounts/test-sa1
  uid: 0ced12b2-8b61-11e9-8839-fa163e432469
secrets:
- name: test-sa1-token-zp6vt
...
  
[root@qa-k8s-2-master ~]# kubectl get secret test-sa1-token-zp6vt -o yaml
apiVersion: v1
data:
  ca.crt: LS0tLS1C......EUtLS0tLQo=
  namespace: ZGVmYXVsdA==
  token: ZXlKaGJ........R1JMdw==
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: test-sa1
    kubernetes.io/service-account.uid: 0ced12b2-8b61-11e9-8839-fa163e432469
  creationTimestamp: 2019-06-10T09:20:55Z
  name: test-sa1-token-zp6vt
  namespace: default
  resourceVersion: "19622332"
  selfLink: /api/v1/namespaces/default/secrets/test-sa1-token-zp6vt
  uid: 0cefd45a-8b61-11e9-8839-fa163e432469
type: kubernetes.io/service-account-token

同時也會生成對應的kubeconfig檔案:

[root@qa-k8s-2-master ~]# cat /tmp/kube/k8s-test-sa1-default-conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJ.........LS0tLQo=
    server: https://qa-k8s-2-master:6443
  name: qa-k8s-2-master
contexts:
- context:
    cluster: qa-k8s-2-master
    namespace: default
    user: test-sa1-default-qa-k8s-2-master
  name: test-sa1-default-qa-k8s-2-master
current-context: test-sa1-default-qa-k8s-2-master
kind: Config
preferences: {}
users:
- name: test-sa1-default-qa-k8s-2-master
  user:
    as-user-extra: {}
    token: eyJhbGciOiJ....hGRLw

2)繫結clusterRole

clusterRole cluster-admin擁有k8s叢集中所有資源的讀寫許可權,將test-sa1加入clusterRoleBinding cluster-admin的subjects中

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2019-01-30T10:32:45Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "19622865"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
  uid: 619bdffa-247a-11e9-9ccb-fa163e432469
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters
- kind: ServiceAccount
  name: test-sa1
  namespace: default

3) kubectl使用test-sa1訪問k8s叢集

指定KUBECONFIG為k8s-test-sa1-default-conf,則可以在任意機器上訪問qa-k8s-2-master叢集

[root@qa-k8s-1-master ~]# scp qa-k8s-2-master:/tmp/kube/k8s-test-sa1-default-conf /tmp/
...
  
[root@qa-k8s-1-master ~]# KUBECONFIG=/tmp/k8s-test-sa1-default-conf kubectl get node
NAME             STATUS    ROLES     AGE       VERSION
10.189.108.144   Ready     <none>    105d      1.9.8.4
10.189.108.145   Ready     <none>    130d      1.9.8.4
10.189.108.146   Ready     <none>    130d      1.9.8.4

4)Java客戶端訪問示例

String k8sEntryPoint = "https://10.199.175.66:6443";
ConfigBuilder configBuilder = new ConfigBuilder().withMasterUrl(k8sEntryPoint)
      .withRequestTimeout(REQUEST_TIMEOUT).withConnectionTimeout(CONNECTION_TIMEOUT);
 
Config config = configBuilder.build();
config.setCaCertData("LS0tLS1CRUdJTiB....BVEUtLS0tLQo=");
config.setOauthToken("eyJhb......V0TGd_hGRLw");
 
OkHttpClient httpClient = HttpClientUtils.createHttpClient(config);
httpClient.dispatcher().setMaxRequests(MAX_REQUEST);
httpClient.dispatcher().setMaxRequestsPerHost(MAX_REQUEST);
KubernetesClient client = new DefaultKubernetesClient(httpClient, config);
 
NodeList nodeList = client.nodes().list();
for (Node node : nodeList.getItems()) {
    System.out.println(node.getMetadata().getName())
}

相關推薦

如何用Frabic clientserviceAccount方式訪問k8s叢集

一. ServiceAccount方式訪問k8s叢集 k8s支援客戶端通過serviceAccount與RBAC結合的方式訪問kube-apiserver,這種方式便於靈活控制賬戶許可權

Python轉換字典成為物件,可以&quot;.&quot;方式訪問物件屬性例項

我就廢話不多說了,大家還是直接看程式碼吧! database = [ { \"name\": \"18D_Block\",\"xcc\":{

win32 - 程式設計方式訪問遠端計算機上的檔案

第一步,在一臺計算機上將某個驅動器或者某個資料夾設為sharing模式。這是我們需要訪問的共享資料夾。(不需要設定everyone許可權)

限制不同使用者訪問K8S叢集

一、SSL認證 1、生成一個證書 (1)生成一個私鑰 cd /etc/kubernetes/pki/ (umask 077; openssl genrsa -out lucky.key 2048)

使用kubeadm方式部署K8S叢集

一、什麼是kubernets Kubernetes簡介Kubernetes是容器叢集管理系統,是一個開源的平臺,可以實現容器叢集的自動化部署、自動擴縮容、維護等功能。快速部署應用快速擴充套件應用無縫對接新的應用功能節省資源,優化硬

[WinError 10013] 一種訪問許可權不允許的方式做了一個訪問套接字的嘗試

報錯資訊如下: * Serving Flask app \"file_server\" (lazy loading) * Environment: production WARNING: This is a development server. Do not use it in a production deployment.

淺析如何實現瀏覽器訪問遠端桌面/伺服器介面:NoVNC - Web方式交付VNC遠端連線

  最近專案需要實現那種線上實訓平臺,所以會記錄一下技術選型然後學到的瞭解到的相關東西。看下這篇知乎文章:實驗樓這個網站是怎樣實現的線上linux虛擬機器?https://www.zhihu.com/question/29557878,這裡面有

C# 傳送郵件到smtp伺服器錯誤:一種訪問許可權不允許的方式做了個訪問套接字的嘗試

原文連結 問題描述: 傳送郵件程式,突然某一天遇到不能傳送郵件。 IIS可以正常傳送郵件

Error: [WinError 10013] 一種訪問許可權不允許的方式做了一個訪問套接字的嘗試及其解決方法

Error: [WinError 10013] 一種訪問許可權不允許的方式做了一個訪問套接字的嘗試及其解決方法 

更雲原生的方式做診斷|大規模 K8s 叢集診斷利器深度解析

背景 通常而言,叢集的穩定性決定了一個平臺的服務質量以及對外口碑,當一個平臺管理了相當規模數量的 Kubernetes 叢集之後,在穩定性這件事上也許會“稍顯被動”。

springbootFTP方式上傳檔案到遠端伺服器的流程

通過筆者前兩篇文章的說明,相信大家已經知道JWT是什麼,怎麼,該如何結合Spring Security使用。那麼本節就程式碼來具體的實現一下JWT登入認證及鑑權的流程。

springbootFTP方式上傳檔案到遠端伺服器

一、html程式碼 <div class=\"layui-form-item\"> <label class=\"layui-form-label\">上傳附件:</label>

SpringbootRepository方式整合Redis的方法

1 簡介 Redis是高效能的NoSQL資料庫,經常作為快取流行於各大網際網路架構中。本文將介紹如何在Springboot中整合Spring Data Redis,使用Repository的方式操作。

python3PyPDF2解析pdf檔案,正則匹配資料方式

我就廢話不多說了,大家還是看程式碼吧! import PyPDF2 import re pdf_file = open(\'xxx.pdf\',mode=\'rb\')

在ASP.NET 中有哪些資料驗證控制元件(請解釋ASP.NET中什麼方式進行資料驗證)?

(1)RequiredFieldValidator:檢查使用者是否輸入; (2)CompareValidator:檢查兩個表單輸入項的輸入資訊是否存在某種指定關係,比如大、等於等;

真的簡單,文字檔案逐行處理–java8 Stream流的方式

本文中為大家介紹使用java8 Stream API逐行讀取檔案,以及根據某些條件過濾檔案內容

樹莓派k8s叢集安裝nfs-client-provisioner

nfs-client-provisioner簡介 nfs-client-provisioner 可動態為kubernetes提供pv卷,是Kubernetes的簡易NFS的外部provisioner,本身不提供NFS,需要現有的NFS伺服器提供儲存。持久卷目錄的命名規則為:${namespace}-$

使用Reactive的方式訪問Redis

18使用Reactive的方式訪問Redis 一、Spring Data Redis對Reactive的支援 1.1 Lettuce客戶端支援Reactive

pycharm不pytest方式執行,想要切換回普通模式執行的操作

有時候系統會pytest的形式執行,如果不想這種方式執行,換回普通模式,那麼就點選畫圈圈那裡的白色三角行

ssh方式訪問centos容器

1. 準備centos映象 1、下載映象 docker pull centos:7.4:7.5.1804 2、啟動容器 [root@localhost ~]# docker run -d -p 8002:22--privileged=true centos:7.5.1804 /usr/sbin/init