2. 程式人生 > >k8s rbac serviceaccount基礎

k8s rbac serviceaccount基礎

阿新 發佈:2018-09-19
usg 通過 clas HSM not eid account lec 資源

1.
Service Account概念的引入是基於這樣的使用場景:運行在pod裏的進程需要調用Kubernetes API以及非Kubernetes API的其它服務。Service Account它並不是給kubernetes集群的用戶使用的,而是給pod裏面的進程使用的,它為pod提供必要的身份認證。

Service Account 是面向 namespace 的,每個 namespace 創建的時候,kubernetes 會自動在這個 namespace 下面創建一個默認的 Service Account;並且這個 Service Account 只能訪問該 namespace 的資源。Service Account 和 pod、service、deployment 一樣是 kubernetes 集群中的一種資源,用戶也可以創建自己的 serviceaccount。

ServiceAccount 主要包含了三個內容:namespace、Token 和 CA。namespace 指定了 pod 所在的 namespace,CA 用於驗證 apiserver 的證書,token 用作身份驗證。它們都通過 mount 的方式保存在 pod 的文件系統中,其中 token 保存的路徑是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 apiserver 通過私鑰簽發 token 的 base64 編碼後的結果; CA 保存的路徑是 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt ,namespace 保存的路徑是 /var/run/secrets/kubernetes.io/serviceaccount/namespace ,也是用 base64 編碼。

2.
通過例子深入了解

集群默認namespace的sa,見下

[root@k8s-master1 ~]# kubectl get sa
NAME? ? ? SECRETS?? AGE
default?? 1? ? ? ?? 21d
[root@k8s-master1 ~]#

查看下詳情

[root@k8s-master1 ~]# kubectl get sa -o yaml
apiVersion: v1
items:
- apiVersion: v1
? kind: ServiceAccount
? metadata:
? ? creationTimestamp: 2018-08-29T02:57:06Z
? ? name: default
? ? namespace: default
? ? resourceVersion: "230"
? ? selfLink: /api/v1/namespaces/default/serviceaccounts/default
? ? uid: 36f3cd9f-ab37-11e8-97db-000c29424904
? secrets:
? - name: default-token-5dbc7
kind: List
metadata:
? resourceVersion: ""
? selfLink: ""
[root@k8s-master1 ~]#

可以看到,sa用到了secret ??default-token-5dbc7

3.
檢查下secret

[root@k8s-master1 ~]# kubectl get secret
NAME? ? ? ? ? ? ? ? ? TYPE? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? DATA? ? ? AGE
default-token-5dbc7?? kubernetes.io/service-account-token?? 3? ? ? ?? 21d
[root@k8s-master1 ~]#

詳情
[root@k8s-master1 ~]# kubectl get secret ?default-token-5dbc7 -o yaml
apiVersion: v1
items:
- apiVersion: v1
? data:
? ? ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURzRENDQXBpZ0F3SUJBZ0lVTWRteDZ0WktZbmh6d1NweVJsa3d1bUlyMys0d0RRWUpLb1pJaHZjTkFRRUwKQlFBd1hqRUxNQWtHQTFVRUJoTUNRMDR4Q3pBSkJnTlZCQWdUQWxOYU1Rc3dDUVlEVlFRSEV3SlRXakVNTUFvRwpBMVVFQ2hNRGF6aHpNUkl3RUFZRFZRUUxFd2swVUdGeVlXUnBaMjB4RXpBUkJnTlZCQU1UQ210MVltVnlibVYwClpYTXdIaGNOTVRnd09ESTRNRFl6TXpBd1doY05Nak13T0RJM01EWXpNekF3V2pCZU1Rc3dDUVlEVlFRR0V3SkQKVGpFTE1Ba0dBMVVFQ0JNQ1Uxb3hDekFKQmdOVkJBY1RBbE5hTVF3d0NnWURWUVFLRXdOck9ITXhFakFRQmdOVgpCQXNUQ1RSUVlYSmhaR2xuYlRFVE1CRUdBMVVFQXhNS2EzVmlaWEp1WlhSbGN6Q0NBU0l3RFFZSktvWklodmNOCkFRRUJCUUFEZ2dFUEFEQ0NBUW9DZ2dFQkFKa2UxV05VSCthUUJvV1NLWXVmSmNHWnExWDNwWXZHaytJazBLS08Kb3FZK1BJRFRvdWxTU215RkViOXJRS0prZ2lWeDBzbEZUT3R6ZGswZm03RVVzQU84aE9uQzdyNmwrYWtBOVZmaQpNK0EveXY0SVpRb1BuVHViaWVFRDZZaVhjc0NUSGFNVWtxektkUCtzbGxoQ3EwNVFNYnl1MmJDSGI5MjRrMXZVCjhTMWFvMlFJdUVpSWlSK2U1ejNrRFBGeXBuSm52bnR6UWNWVmd2MkxHYVFpd1BKak4veW8rUHJTNmN2aVEzMmIKUFJsVDc3b2RUZmpETTRsRjltTGlZQ3Z6em1pczhBUFJXSm1rNXJLbjl1NUEwQ2pUUy9yc0Y0dXFwaUIvcDNFaQpuRm5tcjhuQW1OZVFyYmdDMWhqTGdPR0tnWUs3QzhMZExmUHFDN2tLSkx5L3VjRUNBd0VBQWFObU1HUXdEZ1lEClZSMFBBUUgvQkFRREFnRUdNQklHQTFVZEV3RUIvd1FJTUFZQkFmOENBUUl3SFFZRFZSME9CQllFRkl4SGVqWFoKMGtkbDR1UDJETmhlQ2YrZEFtUjlNQjhHQTFVZEl3UVlNQmFBRkl4SGVqWFowa2RsNHVQMkROaGVDZitkQW1SOQpNQTBHQ1NxR1NJYjNEUUVCQ3dVQUE0SUJBUUFpU3lNUEx3TUJFYXFqOXRzZUlMZU9Zczh4UGZOSHBRREdjOEZLCmc1eTJPaUlXUlV4SXZVRVFhbEMzR1BLc1JBdWM5YlhPdG9KWXZqVEtjYzloQU1sQTdzNU9LZEVvNFR4emREVkcKYmdlTFhyaHJmbzZXZ3ZWL1Nab1pOejJwRUE5OFRhWlNiVjB4MVFIZmUzMEJjdXdKSWJNVW4vd0NEZE9QeVJQMApDN2kzMW9VQTA5Z2tKZ2lSTEthK1h5RU5BUXI1QXp4ZlhvVDZ0UllreFdLKzhUOWJZOEcxMGswbU5MQktIbmp3ClZaZzZzSmo3bHU3eTR4SDdOdTUycTdsSlV2STdtcjFEUFU5T2hzL2tJRTNYWlNJaDJmRU03eUNkVVhsMlVBMkIKWnc2Uit0dy9wL1FZZTM5VTVhSENZV1NnTWpjTHBHTXkrb1I0M3VRV0kxS2YyVGVUCi0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
? ? namespace: ZGVmYXVsdA==
? ? token: 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
? kind: Secret
? metadata:
? ? annotations:
? ? ? kubernetes.io/service-account.name: default
? ? ? kubernetes.io/service-account.uid: 36f3cd9f-ab37-11e8-97db-000c29424904
? ? creationTimestamp: 2018-08-29T02:57:06Z
? ? name: default-token-5dbc7
? ? namespace: default
? ? resourceVersion: "228"
? ? selfLink: /api/v1/namespaces/default/secrets/default-token-5dbc7
? ? uid: 36ff3abd-ab37-11e8-97db-000c29424904
? type: kubernetes.io/service-account-token
kind: List
metadata:
? resourceVersion: ""
? selfLink: ""
[root@k8s-master1 ~]#

參數說明:
? ca.crt ? 根證書 ? 集群環境是ssl環境 ? 必須通過根證書認證才能訪問集群api服務
??token ? token唯一標識請求者,只要apiserver存在該token,則認證通過

4.
sa在po裏的使用情況

[root@k8s-master1 ~]# kubectl get pod
NAME? ? ? ? ? ? ? ? ? ? ? ?? READY? ?? STATUS? ? RESTARTS?? AGE
httpd-app-6dc78c4869-dbpxc?? 1/1? ? ?? Running?? 17? ? ? ?? 19d
httpd-app-6dc78c4869-pbxqp?? 1/1? ? ?? Running?? 10? ? ? ?? 6d
httpd-app-6dc78c4869-rkxn2?? 1/1? ? ?? Running?? 8? ? ? ? ? 22h
httpd-app-6dc78c4869-wh57f?? 1/1? ? ?? Running?? 9? ? ? ? ? 7d
httpd-app-6dc78c4869-z9mc9?? 1/1? ? ?? Running?? 21? ? ? ?? 19d
nginx? ? ? ? ? ? ? ? ? ? ? ? 1/1? ? ?? Running?? 13? ? ? ?? 7d
[root@k8s-master1 ~]#

檢查下nginx 這個pod的sa情況

[root@k8s-master1 ~]# kubectl get pod nginx -o yaml
apiVersion: v1
kind: Pod
metadata:
? annotations:
? ? kubectl.kubernetes.io/last-applied-configuration: |
? ? ? {"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{},"name":"nginx","namespace":"default"},"spec":{"containers":[{"image":"nginx:1.7.9","name":"nginx","ports":[{"containerPort":80}]}]}}
? creationTimestamp: 2018-09-11T07:58:19Z
? name: nginx
? namespace: default
? resourceVersion: "431013"
? selfLink: /api/v1/namespaces/default/pods/nginx
? uid: 72931cbf-b598-11e8-bfe9-000c29424904
spec:
? containers:
? - image: nginx:1.7.9
? ? imagePullPolicy: IfNotPresent
? ? name: nginx
? ? ports:
? ? - containerPort: 80
? ? ? protocol: TCP
? ? resources: {}
? ? terminationMessagePath: /dev/termination-log
? ? terminationMessagePolicy: File
? ? volumeMounts:
? ? - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
? ? ? name: default-token-5dbc7
? ? ? readOnly: true
? dnsPolicy: ClusterFirst
? nodeName: k8s-master3
? restartPolicy: Always
? schedulerName: default-scheduler
? securityContext: {}
? serviceAccount: default
? serviceAccountName: default
? terminationGracePeriodSeconds: 30
? tolerations:
? - effect: NoExecute
? ? key: node.kubernetes.io/not-ready
? ? operator: Exists
? ? tolerationSeconds: 300
? - effect: NoExecute
? ? key: node.kubernetes.io/unreachable
? ? operator: Exists
? ? tolerationSeconds: 300
? volumes:
? - name: default-token-5dbc7
? ? secret:
? ? ? defaultMode: 420
? ? ? secretName: default-token-5dbc7
status:
? conditions:
? - lastProbeTime: null
? ? lastTransitionTime: 2018-09-11T07:58:34Z
? ? status: "True"
? ? type: Initialized
? - lastProbeTime: null
? ? lastTransitionTime: 2018-09-19T05:20:58Z
? ? status: "True"
? ? type: Ready
? - lastProbeTime: null
? ? lastTransitionTime: 2018-09-11T07:58:32Z
? ? status: "True"
? ? type: PodScheduled
? containerStatuses:
? - containerID: docker://aecc2757eb489742f50cf076f2b00c685d145d0b9ebaa029d62b65e8cce5e55d
? ? image: nginx:1.7.9
? ? imageID: docker-pullable://nginx@sha256:e3456c851a152494c3e4ff5fcc26f240206abac0c9d794affb40e0714846c451
? ? lastState:
? ? ? terminated:
? ? ? ? containerID: docker://69069b6ddc723f5928ee58305bb1e44586516fd246fe8071ed3ae1b023ad3e31
? ? ? ? exitCode: 255
? ? ? ? finishedAt: 2018-09-19T05:20:29Z
? ? ? ? reason: Error
? ? ? ? startedAt: 2018-09-19T03:50:30Z
? ? name: nginx
? ? ready: true
? ? restartCount: 13
? ? state:
? ? ? running:
? ? ? ? startedAt: 2018-09-19T05:20:58Z
? hostIP: 192.168.211.130
? phase: Running
? podIP: 172.30.1.4
? qosClass: BestEffort
? startTime: 2018-09-11T07:58:34Z
[root@k8s-master1 ~]#

具體點

? ? volumeMounts:
? ? - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
? ? ? name: default-token-5dbc7
? ? ? readOnly: true

?? serviceAccount: default
? ?serviceAccountName: default?

? ?? volumes:
? - name: default-token-5dbc7
? ? secret:
? ? ? defaultMode: 420
? ? ? secretName: default-token-5dbc7?

以上參數就是sa在pod裏的配置,指定了掛載路徑,sa名字,secrect名字
因為pod裏有了sa,有了secret token,pod通過這個sa token就可以訪問k8s集群api

k8s rbac serviceaccount基礎

相關推薦

k8s rbac serviceaccount基礎

usg 通過 clas HSM not eid account lec 資源 1.Service Account概念的引入是基於這樣的使用場景:運行在pod裏的進程需要調用Kubernetes API以及非Kubernetes API的其它服務。Service Accoun

k8s rbac增加user用戶配置roles

als 它的 bar rem ive app 文件 you min 1.k8s增加普通用戶User 普通用戶並不是通過k8s來創建和維護,是通過創建證書和切換上下文環境的方式來創建和切換用戶。其實創建用戶的步驟,就是手動部署k8s集群裏的一個步驟。創建過程見下: 創建用戶證

k8s rbac 權限認證實踐操作1

pac 並不是 eat stat svc The 測試 -h rom 1.概述:使用前面新加的User/jane分別測試role和clusterrole還有rolebinding和clusterrolebinding的各種不同組合情況。 2.前面授予jane的role和ro

k8s rbac手動創建sa並在pod使用

nts clusterip odi points latest exe created tor set 手動生成sa指定pod使用這個sa操作記錄 創建新的namespace和sa [root@k8s-master2 ~]# kubectl create namespace

K8S RBAC

API Server 內部通過使用者認證後,然後進入授權流程。對合法使用者進行授權並且隨後在使用者訪問時進行鑑權,是許可權管理的重要環節。 在 kubernetes 叢集中,各種操作許可權是賦予角色(Role 或者 ClusterRole)的。通過建立 RoleBinding 或者 ClusterBindi

K8s Rest API 基礎概念&基本功能 說明 v1.11

K8s 實用 api 速查 首先,需要在K8s叢集獲取一串用於認證的token。這裡省略這個步驟。 以下命令中的所有如下格式的命令,均替換為完整的token才能夠執行。 -H "Authorization: Bearer ey...Xg" 查詢Pods的基本資訊

K8S基礎概念

使用 外部 清理 lac six 基本上 新的 容器 所有 一、核心概念 1、Node Node作為集群中的工作節點,運行真正的應用程序,在Node上Kubernetes管理的最小運行單元是Pod。Node上運行著Kubernetes的Kubelet、kube-proxy

手動安裝K8s 1.10 第二節:基礎環境+CA證書

docekr kubernetes 容器 1、安裝Dockeryum install docker-ce -y 2、準備相關軟件上傳k8s-v1.10.1-manual.zip到/usr/local/src[root@k8smaster src]# lltotal 1178908-rw-r--r-

kubernetes(k8s) 基礎概念

-type out 查詢 客戶 配置 節點和 索引 post pri K8S基礎概念1、NodeNode作為集群中的工作節點,運行真正的應用程序,在Node上Kubernetes管理的最小運行單元是Pod。Node上運行著Kubernetes的Kubelet、kube-pr

部署k8s ssl集群實踐1:基礎環境準備

基礎 you code hub 錯誤 systemctl 第一個 base 感謝 參考文檔:https://github.com/opsnull/follow-me-install-kubernetes-cluster感謝作者的無私分享。集群環境已搭建成功跑起來。文章是部署

部署k8s ssl集群實踐10:work節點基礎環境

master ESS rap 系統 sts 基礎 ann emctl pset 1.部署說明:三master節點同時也做work節點,另外新加一個work節點,總共4個work節點。部署了兩套環境,前面master節點部署的是一套環境的記錄。部署work節點用的是另一套環境

初識Kubernetes(K8s):理論基礎

工具 ron 一個 master 升級版 調度 tor sele 第2版 Kubernetes是什麽?Kubernetes,簡稱K8s,是用8代替8個字符“ubernete”而成的縮寫。Kubernetes是Google開源的一個容器編排引擎,同時也是一個開源的容器集群管理

k8s系列0--Kubernetes基礎知識

Once 基於 輪詢 系列 com 多個 href daemon 負載 Kubernetes介紹 參考:Kubernetes核心組件解析 Pod是k8s的最小調度單元 每個pod有獨立的IP,但是pod的IP是不可靠的,重新調度pod就會改變IP,service概念就是為

k8s-16-k8s基礎儲存

1.emptyDir   pod刪除的時候,volume也就不存在了,生命週期和pod同樣 apiVersion: v1 kind: Pod metadata:   name: redis-pod spec:   cont

[基礎架構十一]:3分鐘裝好k8s HA叢集

前言: 本篇介紹k8s高可用叢集的自動化安裝 版本: k8s 1.12.1 coreOS1855  準備工作: 完成前篇《基礎架構八:coreOS的安裝》   相關程式碼與資源:

企業級基於RBAC模型的可自由拓展的許可權基礎框架

專案簡介: 本專案(主要提供restful api 介面,當然也提供了一個帶介面的版本web-permission-ui.war)是一個以許可權為核心的基於RBAC模型可自由拓展的基礎框架 許可權方面 未採用任何第三方許可權框架,全是自己編寫,更加可把控,熟悉,

kubernetes實戰(八):k8s叢集安全機制RBAC

1、基本概念   RBAC(Role-Based Access Control,基於角色的訪問控制)在k8s v1.5中引入,在v1.6版本時升級為Beta版本,併成為kubeadm安裝方式下的預設選項,相對於其他訪問控制方式,新的RBAC具有如下優勢:   - 對叢集中的資源和非資源許可權均有完整的覆蓋  

Docker 與 Kubernetes(k8s) 在企業基礎設施服務的應用_Kubernetes中文社群

大家好,本次內容我在我司上個月的PWorld大會上分享過,線下會議參與人數有限,這次應邀在微信上向更廣泛的人群分享,同時也加入了我近期的一些新想法,不僅僅是上次分享的重複。 一、新時代——即基於容器的雲時代的來臨。 下面出場的是容器時代的兩大主角——Docker和Kubernetes,未來

docker視頻教程零基礎實戰Kubernetes Swarm容器編排k8s CICD部署

amd 安裝 零基礎 dock community als doc entos -h docker版本 docker 17.09 https://docs.docker.com/ p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 1

k8s基礎筆記

1,獲取節點列表:kubectl get nodes 在部署時,先部署service,便於環境變數的生成,利於其他pod的監聽 2,Service部署:編寫yaml檔案進行基礎配置(不推薦使用環境變數的方式訪問service,使用內內部DNS的方式時比較推薦的) 使