kubectl源码分析之auth reconcile

最新推荐文章于 2025-03-04 18:15:05 发布
原创 最新推荐文章于 2025-03-04 18:15:05 发布 · 377 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

 

————————————————

type ReconcileOptions struct {//reconcile结构体
	PrintFlags             *genericclioptions.PrintFlags
	FilenameOptions        *resource.FilenameOptions
	DryRun                 bool
	RemoveExtraPermissions bool
	RemoveExtraSubjects    bool

	Visitor         resource.Visitor
	RBACClient      rbacv1client.RbacV1Interface
	NamespaceClient corev1client.CoreV1Interface

	PrintObject printers.ResourcePrinterFunc

	genericclioptions.IOStreams
}
func NewReconcileOptions(ioStreams genericclioptions.IOStreams) *ReconcileOptions {
	return &ReconcileOptions{//初始化结构体
		FilenameOptions: &resource.FilenameOptions{},
		PrintFlags:      genericclioptions.NewPrintFlags("reconciled").WithTypeSetter(scheme.Scheme),
		IOStreams:       ioStreams,
	}
}
//创建reconcile命令
func NewCmdReconcile(f cmdutil.Factory, streams genericclioptions.IOStreams) *cobra.Command {
	o := NewReconcileOptions(streams)//初始化结构体

	cmd := &cobra.Command{//创建cobra命令
		Use:                   "reconcile -f FILENAME",
		DisableFlagsInUseLine: true,
		Short:                 "Reconciles rules for RBAC Role, RoleBinding, ClusterRole, and ClusterRole binding objects",
		Long:                  reconcileLong,
		Example:               reconcileExample,
		Run: func(cmd *cobra.Command, args []string) {
			cmdutil.CheckErr(o.Complete(cmd, f, args))//准备
			cmdutil.CheckErr(o.Validate())//校验
			cmdutil.CheckErr(o.RunReconcile())//运行
		},
	}

	o.PrintFlags.AddFlags(cmd)//打印选项

	cmdutil.AddFilenameOptionFlags(cmd, o.FilenameOptions, "identifying the resource to reconcile.")//文件选项
	cmd.Flags().BoolVar(&o.DryRun, "dry-run", o.DryRun, "If true, display results but do not submit changes")//干跑选项
	cmd.Flags().BoolVar(&o.RemoveExtraPermissions, "remove-extra-permissions", o.RemoveExtraPermissions, "If true, removes extra permissions added to roles")//删除多余权限选项
	cmd.Flags().BoolVar(&o.RemoveExtraSubjects, "remove-extra-subjects", o.RemoveExtraSubjects, "If true, removes extra subjects added to rolebindings")//删除多余主体选项

	return cmd
}
//准备
func (o *ReconcileOptions) Complete(cmd *cobra.Command, f cmdutil.Factory, args []string) error {
	if err := o.FilenameOptions.RequireFilenameOrKustomize(); err != nil {//文件选项是必须的
		return err
	}

	if len(args) > 0 {//不能有参数
		return errors.New("no arguments are allowed")
	}

	namespace, enforceNamespace, err := f.ToRawKubeConfigLoader().Namespace()//获取namespace和enforceNamespace
	if err != nil {
		return err
	}

	r := f.NewBuilder().
		WithScheme(scheme.Scheme, scheme.Scheme.PrioritizedVersionsAllGroups()...).
		ContinueOnError().
		NamespaceParam(namespace).DefaultNamespace().
		FilenameParam(enforceNamespace, o.FilenameOptions).
		Flatten().
		Do()//构造result对象

	if err := r.Err(); err != nil {
		return err
	}
	o.Visitor = r//设置visitor

	clientConfig, err := f.ToRESTConfig()//获取restconfig
	if err != nil {
		return err
	}
	o.RBACClient, err = rbacv1client.NewForConfig(clientConfig)//通过restconfig获取rbacclient
	if err != nil {
		return err
	}
	o.NamespaceClient, err = corev1client.NewForConfig(clientConfig)//通过restconfig获取namespaceCient
	if err != nil {
		return err
	}

	if o.DryRun {//准备干跑
		o.PrintFlags.Complete("%s (dry run)")
	}
	printer, err := o.PrintFlags.ToPrinter()//printflag转printer
	if err != nil {
		return err
	}

	o.PrintObject = printer.PrintObj//设置printObj函数
	return nil
}
//校验
func (o *ReconcileOptions) Validate() error {
	if o.Visitor == nil {//visitor不能为空
		return errors.New("ReconcileOptions.Visitor must be set")
	}
	if o.RBACClient == nil {// rbacclient不能为空
		return errors.New("ReconcileOptions.RBACClient must be set")
	}
	if o.NamespaceClient == nil {//namespaceClient不能为空
		return errors.New("ReconcileOptions.NamespaceClient must be set")
	}
	if o.PrintObject == nil {//printObject不能为空
		return errors.New("ReconcileOptions.Print must be set")
	}
	if o.Out == nil {//out不能为空
		return errors.New("ReconcileOptions.Out must be set")
	}
	if o.ErrOut == nil {//errout不能为空
		return errors.New("ReconcileOptions.Err must be set")
	}
	return nil
}
//运行
func (o *ReconcileOptions) RunReconcile() error {
	return o.Visitor.Visit(func(info *resource.Info, err error) error {//visit result
		if err != nil {//有错误直接返回
			return err
		}

		switch t := info.Object.(type) {//判断info的object类型
		case *rbacv1.Role://如果是role
			reconcileOptions := reconciliation.ReconcileRoleOptions{//创建reconcileOptions 
				Confirm:                !o.DryRun,
				RemoveExtraPermissions: o.RemoveExtraPermissions,
				Role:                   reconciliation.RoleRuleOwner{Role: t},
				Client: reconciliation.RoleModifier{
					NamespaceClient: o.NamespaceClient.Namespaces(),
					Client:          o.RBACClient,
				},
			}
			result, err := reconcileOptions.Run()//执行reconcile
			if err != nil {
				return err
			}
			o.printResults(result.Role.GetObject(), nil, nil, result.MissingRules, result.ExtraRules, result.Operation, result.Protected)//打印结果

		case *rbacv1.ClusterRole://如果是clusterrole
			reconcileOptions := reconciliation.ReconcileRoleOptions{//创建reconcileOptions 
				Confirm:                !o.DryRun,
				RemoveExtraPermissions: o.RemoveExtraPermissions,
				Role:                   reconciliation.ClusterRoleRuleOwner{ClusterRole: t},
				Client: reconciliation.ClusterRoleModifier{
					Client: o.RBACClient.ClusterRoles(),
				},
			}
			result, err := reconcileOptions.Run()//执行reconcile
			if err != nil {
				return err
			}
			o.printResults(result.Role.GetObject(), nil, nil, result.MissingRules, result.ExtraRules, result.Operation, result.Protected)//打印结果

		case *rbacv1.RoleBinding://如果是rolebinding
			reconcileOptions := reconciliation.ReconcileRoleBindingOptions{//创建reconcileOptions 
				Confirm:             !o.DryRun,
				RemoveExtraSubjects: o.RemoveExtraSubjects,
				RoleBinding:         reconciliation.RoleBindingAdapter{RoleBinding: t},
				Client: reconciliation.RoleBindingClientAdapter{
					Client:          o.RBACClient,
					NamespaceClient: o.NamespaceClient.Namespaces(),
				},
			}
			result, err := reconcileOptions.Run()//执行reconcile
			if err != nil {
				return err
			}
			o.printResults(result.RoleBinding.GetObject(), result.MissingSubjects, result.ExtraSubjects, nil, nil, result.Operation, result.Protected)//打印结果

		case *rbacv1.ClusterRoleBinding://如果是clusterrolebinding
			reconcileOptions := reconciliation.ReconcileRoleBindingOptions{//创建reconcileOptions 
				Confirm:             !o.DryRun,
				RemoveExtraSubjects: o.RemoveExtraSubjects,
				RoleBinding:         reconciliation.ClusterRoleBindingAdapter{ClusterRoleBinding: t},
				Client: reconciliation.ClusterRoleBindingClientAdapter{
					Client: o.RBACClient.ClusterRoleBindings(),
				},
			}
			result, err := reconcileOptions.Run()//执行reconcile
			if err != nil {
				return err
			}
			o.printResults(result.RoleBinding.GetObject(), result.MissingSubjects, result.ExtraSubjects, nil, nil, result.Operation, result.Protected)//打印结果

		case *rbacv1beta1.Role,
			*rbacv1beta1.RoleBinding,
			*rbacv1beta1.ClusterRole,
			*rbacv1beta1.ClusterRoleBinding,
			*rbacv1alpha1.Role,
			*rbacv1alpha1.RoleBinding,
			*rbacv1alpha1.ClusterRole,
			*rbacv1alpha1.ClusterRoleBinding:
			return fmt.Errorf("only rbac.authorization.k8s.io/v1 is supported: not %T", t)//返回错误

		default:
			klog.V(1).Infof("skipping %#v", info.Object.GetObjectKind())
			// skip ignored resources
		}

		return nil
	})
}
//打印结果
func (o *ReconcileOptions) printResults(object runtime.Object,
	missingSubjects, extraSubjects []rbacv1.Subject,
	missingRules, extraRules []rbacv1.PolicyRule,
	operation reconciliation.ReconcileOperation,
	protected bool) {

	o.PrintObject(object, o.Out)//打印对象

	caveat := ""
	if protected {//受保护信息
		caveat = ", but object opted out (rbac.authorization.kubernetes.io/autoupdate: false)"
	}
	switch operation {//判断操作类型
	case reconciliation.ReconcileNone://如果是nono直接返回
		return
	case reconciliation.ReconcileCreate://如果是创建
		fmt.Fprintf(o.ErrOut, "\treconciliation required create%s\n", caveat)
	case reconciliation.ReconcileUpdate://如果是更新
		fmt.Fprintf(o.ErrOut, "\treconciliation required update%s\n", caveat)
	case reconciliation.ReconcileRecreate://如果是重建
		fmt.Fprintf(o.ErrOut, "\treconciliation required recreate%s\n", caveat)
	}

	if len(missingSubjects) > 0 {//打印丢失的主体
		fmt.Fprintf(o.ErrOut, "\tmissing subjects added:\n")
		for _, s := range missingSubjects {
			fmt.Fprintf(o.ErrOut, "\t\t%+v\n", s)
		}
	}
	if o.RemoveExtraSubjects {
		if len(extraSubjects) > 0 {//打印多余的主体
			fmt.Fprintf(o.ErrOut, "\textra subjects removed:\n")
			for _, s := range extraSubjects {
				fmt.Fprintf(o.ErrOut, "\t\t%+v\n", s)
			}
		}
	}
	if len(missingRules) > 0 {//打印丢失的权限
		fmt.Fprintf(o.ErrOut, "\tmissing rules added:\n")
		for _, r := range missingRules {
			fmt.Fprintf(o.ErrOut, "\t\t%+v\n", r)
		}
	}
	if o.RemoveExtraPermissions {//打印多余的权限
		if len(extraRules) > 0 {
			fmt.Fprintf(o.ErrOut, "\textra rules removed:\n")
			for _, r := range extraRules {
				fmt.Fprintf(o.ErrOut, "\t\t%+v\n", r)
			}
		}
	}
}

kubernetes 1.19.4 安装metrics-server
weixin_30375785的博客
11-26 1503
kubernetes 1.19.4 安装metrics-server kubernetes安装metrics-server $ mkdir metrics-server $ cd metrics-server $ vim metrics-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: metrics-server namespace: kube-system name: metrics-server apiV
纯干货整理,一文看懂 kubebuilder 安装,部署以及源码controller-runtime等库分析
magices的博客
04-20 3032
快速开始 构建go环境 curl -o /tmp/go1.13.14.linux-amd64.tar.gz https://dl.google.com/go/go1.13.14.linux-amd64.tar.gz rm -rf /usr/local/go/ && tar -C /usr/local/ -zxf /tmp/go1.13.14.linux-amd64.tar.gz cat <<"EOF" | tee -a ~/.bashrc # add by chengql st
kubectl源码分析之apply
mark's technic world
06-20 1738
发布一个k8s部署视频:https://edu.youkuaiyun.com/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931462251&tuin=ba64518 第二个视频发布https://edu.youkuaiyun.com/c..
k8s-kubectl功能源码分析
hahachenchen789的博客
06-07 1896
kubernetes里的命令行接口叫做kubectl,用来控制kubernetes集群,我们要追踪的命令是kubectl create -f-会从指定文件创建k8s资源,我们要创建的资源是使用了nginx基础镜像的单副本pod。首先是kubectl命令的创建,在/cmd/kubectl/kubectl.go文件中,实现了kubectl命令的创建:func main() { rand.Seed(t...
kubectl 命令详解(三十一):rollout history
youzhouliu的博客
05-07 2240
kubectl rollout history 命令详解。
【Kubernetes】kubectl rollout 回滚操作
http://DBAtao.cn/
04-11 9290
kubectl rollout 怎么用搞不清?一遍文章搞定~
性能测试融合之道:Locust作为Python原生压测工具的工程化落地(真实百万请求压测案例)
[性能测试融合之道:Locust作为Python原生压测工具的工程化落地(真实百万请求压测案例)](https://pflb.us/wp-content/uploads/2022/12/How-to-build-complex-user-scenarios-in-Locust.png) # 1. 性能测试的演进与...
[kubeflow] 从零搭建training-operator项目
weixin_43742643的博客
08-17 2031
最近一直在看源码,思考怎么从零搭建一个类似的项目呢?网上查了很多资料,点开的chrome标签页密密麻麻,这里把自己的学习过程记录下来,代码在。training-operator里面主要是一些CRD和相关的controller。其中包括了tfjob,pytorchjob,mpijob,mxjob,paddlepaddlejob等等。这里我们主要关注tfjob和pytorchjob。之所以称之为tfjob,是因为契合支持tensorflow的分布式训练。
一文读懂 Kubernetes APIServer 原理
吉小白的博客
01-20 1034
前言 整个Kubernetes技术体系由声明式API以及Controller构成,而kube-apiserver是Kubernetes的声明式api server,并为其它组件交互提供了桥梁。因此加深对kube-apiserver的理解就显得至关重要了。 整体组件功能 kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资源的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: kube-apiserver包
容器编排技术 -- Kubernetes kubectl rollout history 命令详解
YunWisdom
08-29 2673
容器编排技术 -- Kubernetes kubectl rollout history 命令详解 1kubectl history 2语法 3示例 4Flags kubectl history 查看之前推出的版本(历史版本)。 语法 $ history (TYPE NAME | TYPE/NAME) [flags] 示例 查看deployment的历史记录 ...
Kubernetes(k8s) kubectl set resources常用命令
m0_60105488的博客
12-09 356
kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件。可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。本文主要介绍Kubernetes(K8s)中kubectl set resources常用命令。
kubectl 命令详解(三十四):rollout status
youzhouliu的博客
05-08 1848
kubectl rollout status 命令详解。
kubectl rollout restart重启pod
学亮编程手记
12-07 4950
Kubernetes(k8s) kubectl rollout history常用命令
m0_60105488的博客
12-13 400
kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件。可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。本文主要介绍Kubernetes(K8s)中kubectl rollout history常用命令。
Kubernetes(k8s) kubectl rollout status常用命令
m0_60105488的博客
12-18 505
kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件。可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。本文主要介绍Kubernetes(K8s)中kubectl rollout status常用命令。
kubectl rollout restart 命令“unkonw command“
kouryoushine的博客
03-28 920
问题 尝试用命令发现不识别 kubectl rollout restart deployment <deployment_name> -n <namespace> 原因 kubectl版本太低,使用kubectl version查看版本发现是v1.14.8 而kubectl rollout在1.15版本之后才有 解决 升级kubectl版本 ...
容器编排技术 -- Kubernetes kubectl rollout status 命令详解
YunWisdom
08-30 1891
容器编排技术 -- Kubernetes kubectl rollout status 命令详解 1kubectl rolloutstatus 2语法 3示例 4Flags kubectl rolloutstatus 查看资源的状态。 使用—watch = false 来查看当前状态,需要查看特定修订版本状态 请使用--revision = N 来指定。 语法 ...
Kubernetes集群使用top命令
最新发布
qq_46634095的博客
03-04 650
在Kubernetes集群中需要查看node节点的资源使用情况,我们都知道使用top命令可以查看node以及pod的资源占用情况,但是直接使用top命令会直接报错,是需要安装一个metrics-server服务来收集指标。由于 kubelet API 需要认证,而 metrics-server 默认 不会信任自签名证书,可以通过下列配置忽略。如果出现metrics-server服务一只启动不起来,报错内容提示证书无法认证,此时metrics-server服务就部署完成了,top命令也可以正常使用了。
k8s VPA:垂直 Pod 自动扩缩容
hhhh66994的博客
09-05 1149
VPA 和 HPA 之间的区别在于它们的扩展方式。HPA 通过添加或删除pod进行扩展,pod内的资源请求不会发生改变,实现水平扩展容量;VPA 通过增加或减少现有 Pod内的 CPU 和内存资源来进行扩展,pod的数量不会发生改变,实现垂直扩展容量。
AuthCenter源码工具分析与应用
由于提供的信息中【描述】一项内容为"NULL",而博文链接仅提供了一个外部参考,且【压缩包子文件的文件名称列表】只有一个简单的"AuthCenter",这些信息不足以产生一个完整的知识点描述。因此,我将依据提供的【标题...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值