写点什么

Kubernetes 身份认证和授权操作全攻略:访问控制之 Service Account

  • 2020-05-18
  • 本文字数:2870 字

    阅读完需:约 9 分钟

Kubernetes身份认证和授权操作全攻略:访问控制之Service Account

这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证授权的具体操作,本文我们将进一步了解访问控制中的 service account。


Kubernetes 中有用户和 service account 的概念,可用于访问资源。用户与密钥和证书相关联用于验证 API 请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过 X.509 证书进行身份认证请求。有关创建证书和将证书与用户关联的信息,请参阅Kubernetes身份验证教程。


请记住,Kubernetes 不维护数据库或用户和密码的配置文件。相反,它希望在集群之外进行管理。通过身份验证模块的概念,Kubernetes 可以将身份验证委派给第三方,如 OpenID 或 Active Directory。


尽管 X.509 证书可用于身份验证的外部请求,但 service account 可以用于验证集群中运行的进程。此外,service account 与进行 API server 内部调用的 pod 相关联。


每个 Kubernetes 安装都有一个默认的 service account,它与每个正在运行的 pod 相关联。类似地,为了使 pod 能够调用内部 API Server 端点,有一个名为 Kubernetes 的 ClusterIP 服务,它与默认的 service account 一起使内部进程可以调用 API 端点。


  kubectl get serviceAccounts
复制代码


NAME      SECRETS   AGEdefault   1         122m
复制代码


 kubectl get svc
复制代码


NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGEkubernetes   ClusterIP   10.96.0.1            443/TCP   123m
复制代码


请注意,这个 service account 指向嵌在每个 pod 内部的 secret。这一 secret 包含 API Server 所需的令牌。


  kubectl get secret
复制代码


NAME                  TYPE                                  DATA   AGEdefault-token-4rpmv   kubernetes.io/service-account-token   3      123m
复制代码


当我们开始调度 pod 并且访问它时,一切都变得明朗起来。我们将使用 curl 命令启动一个基于 BusyBox 的 pod。


kubectl run -i --tty --rm curl-tns --image=radial/busyboxplus:curl
复制代码


kubectl run --generator=deployment/apps.v1 is DEPRECATED and will be removed in a future version. Use kubectl run --generator=run-pod/v1 or kubectl create instead.If you don't see a command prompt, try pressing enter.[ root@curl-tns-56c6d54585-6v2xp:/ ]$
复制代码


当我们在 BusyBox shell 中时,让我们尝试访问 API Server 端点。


[ root@curl-tns-56c6d54585-6v2xp:/ ]$ curl https://kubernetes:8443/api
复制代码


由于请求缺少身份验证令牌,因此不会产生任何结果。让我们看看如何检索可以嵌入 HTTP 头部的令牌。


如之前所讨论的,令牌作为一个 secret 安装在 pod 里。查看/var/run/secrets/kubernetes.io/serviceaccount 来查找令牌。


[ root@curl-tns-56c6d54585-6v2xp:/ ]$ cd /var/run/secrets/kubernetes.io/serviceaccount
复制代码


[ root@curl-tns-56c6d54585-6v2xp:/tmp/secrets/kubernetes.io/serviceaccount ]$ lsca.crt     namespace  token
复制代码


让我们来设置一些环境变量以简化 curl 命令。


CA_CERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crtTOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)NAMESPACE=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)
复制代码


以下 curl 命令请求在默认命名空间中的服务。让我们看看我们能否从 API Server 中获得回应。


[ root@curl-tns-56c6d54585-6v2xp:~ ]$ curl --cacert $CA_CERT -H "Authorization: Bearer $TOKEN" "https://kubernetes/api/v1/namespaces/$NAMESPACE/services/"
复制代码


{  "kind": "Status",  "apiVersion": "v1",  "metadata": {   },  "status": "Failure",  "message": "services is forbidden: User \"system:serviceaccount:default:default\" cannot list resource \"services\" in API group \"\" in the namespace \"default\"",  "reason": "Forbidden",  "details": {    "kind": "services"  },  "code": 403}
复制代码


然而,默认的 service account 并没有足够的权限来检索在同一命名空间内的服务。


请记住,Kubernetes 遵循封闭开放的惯例,这意味着在默认情况下用户和 service account 没有任何权限。


为了满足这一请求,我们需要创建一个角色绑定,将默认 service account 和适当的角色相关联。这一步与我们将角色绑定到 Bob 的方式类似,后者授予他列出 pod 的权限。


退出 pod 并且运行以下命令,为默认 service account 创建一个角色绑定。


kubectl create rolebinding default-view \  --clusterrole=view \  --serviceaccount=default:default \  --namespace=default
复制代码


 rolebinding.rbac.authorization.k8s.io/default-view created
复制代码


以上命令将默认 service account 与集群角色视图相关联,该角色视图使 pod 能够列出资源。


如果你十分好奇,想看所有可用的集群角色,运行命令:kubectl get clusterroles


让我们再次启动 BusyBox pod 并且访问 API Server。


kubectl run -i --tty --rm curl-tns --image=radial/busyboxplus:curl
复制代码


kubectl run --generator=deployment/apps.v1 is DEPRECATED and will be removed in a future version. Use kubectl run --generator=run-pod/v1 or kubectl create instead.If you don't see a command prompt, try pressing enter.[ root@curl-tns-56c6d54585-2cx44:/ ]$
复制代码


CA_CERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crtTOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)NAMESPACE=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)
复制代码


curl --cacert $CA_CERT -H "Authorization: Bearer $TOKEN" "https://kubernetes/api/v1/namespaces/$NAMESPACE/services/"
复制代码


{  "kind": "ServiceList",  "apiVersion": "v1",  "metadata": {    "selfLink": "/api/v1/namespaces/default/services/",    "resourceVersion": "11076"  },  "items": [    {      "metadata": {        "name": "kubernetes",        "namespace": "default",        "selfLink": "/api/v1/namespaces/default/services/kubernetes",        "uid": "b715a117-6be1-4de0-8830-45bddcda701c",        "resourceVersion": "151",        "creationTimestamp": "2019-08-13T09:45:27Z",        "labels": {          "component": "apiserver",          "provider": "kubernetes"        }      },      "spec": {        "ports": [          {            "name": "https",            "protocol": "TCP",            "port": 443,            "targetPort": 8443          }        ],        "clusterIP": "10.96.0.1",        "type": "ClusterIP",        "sessionAffinity": "None"      },      "status": {        "loadBalancer": {         }      }    }  ]}
复制代码


您可以随意为默认 service account 创建其他绑定,以检查 RBAC 如何扩展到 pod。


关于 Kubernetes 身份认证与授权系列文章到此结束,我们讨论了身份验证,授权和 Service account 的基本概念,希望能对你有所帮助。


2020-05-18 18:00992

评论

发布
暂无评论
发现更多内容

DLRover:蚂蚁开源大规模智能分布式训练系统

AI Infra

互联网 智能 训练智能

配运基础数据缓存瘦身实践

京东科技开发者

数据库 redis 缓存 key 企业号 3 月 PK 榜

三天吃透消息队列面试八股文

程序员大彬

Java 消息队列

喜讯!阿里云数据库PolarDB荣获第12届PostgreSQL中国技术大会“开源数据库杰出贡献奖”

阿里云数据库开源

开源数据库 polarDB 阿里云数据库 PolarDB-PG PolarDB for PostgreSQL

自动化离线交付在云原生的应用和思考

京东科技开发者

云原生 离线 企业号 3 月 PK 榜 自动化交付

【实践篇】教你玩转微服务--基于DDD的微服务架构落地实践之路

京东科技开发者

架构 后端 企业号 3 月 PK 榜 微服务器

面向新时代,海泰方圆战略升级!“1465”隆重发布!

电子信息发烧客

瓴羊Quick BI怎么样,BI工具数据看板见分晓!

小偏执o

规模化企业BI分析用哪家?帆软、永洪BI、瓴羊Quick BI深度对比

巷子

复杂业务架构设计方法论的思考

FluttySage

架构

喜马拉雅基于DeepRec构建AI平台实践

阿里云大数据AI技术

人工智能 深度学习 推理 企业号 3 月 PK 榜 稀疏学习

中小企业需要统一的快速开发平台吗?

力软低代码开发平台

什么是大前端技术?微信小程序用户占比达25%

没有用户名丶

ChatGPT作者John Schulman:我们成功的秘密武器

OneFlow

人工智能 深度学习 ChatGPT

defi质押LP流动性挖矿dapp系统开发详情(案例)

开发微hkkf5566

帆软、永洪BI、瓴羊Quick BI等工具,都有哪些特点呢?

小偏执o

物联网平台提醒欠费该如何查询和处理?——普及类

阿里云AIoT

物联网

云计算生态该怎么做?阿里云计算巢打了个样

云布道师

云计算 阿里云

浪潮 KaiwuDB x 山东重工 | 打造离散制造业 IIoT 标杆解决方案

KaiwuDB

数据库 iiot 制造业

数据安全特点有哪些?现在企业如何保障数据安全?

行云管家

数据安全 堡垒机 数据泄露

云图说丨云数据库GaussDB(for MySQL)事务拆分大揭秘

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

matlab实现形态学图像处理

timerring

matlab 图像处理

Terraform 新手村指南,萌新必读!

SEAL安全

Terraform 企业号 3 月 PK 榜

排序算法 Quick Sort

Immerse

JavaScript 面试 前端 数据结构算法 算法、

瓴羊Quick BI更合适“中国式报表”需求!

巷子

Java面试一个月,心态崩了……

程序知音

Java java面试 Java进阶 后端技术 Java面试八股文

「降本」有可能,「增效」不确定

Java 架构 程序人生 职场

易观分析:银保监会成为“历史”,金融行业将面临哪些重点影响?

易观分析

金融 经济

IoT平台设备标签功能和规则引擎组合最佳实践——设备接入类

阿里云AIoT

sql 监控 物联网 API 定位技术

什么是信创产品?怎么成为信创产品?

行云管家

信创 国产化

设备离线时控制指令如何下发:通过设备影子实现离线设备的控制指令触达方案——设备管理运维类

阿里云AIoT

物联网

Kubernetes身份认证和授权操作全攻略:访问控制之Service Account_文化 & 方法_Rancher_InfoQ精选文章