配置kubectl客户端通过token方式访问kube-apiserver

最新推荐文章于 2025-03-21 13:29:59 发布
最新推荐文章于 2025-03-21 13:29:59 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: kubernetes
本文介绍如何在Kubernetes中配置API Server并使用RBAC限制用户权限。通过设置kubectl config,添加token证书,及配置kube-apiserver启动参数,实现对crd-admin用户的权限控制,确保其仅能在crd namespace下操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

帮助文档

使用的变量

本文档用到的变量定义如下:

$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP
$ export KUBE_APISERVER="https://${MASTER_IP}:6443"
$

创建 kubectl config 文件

$ # 设置集群参数
$ kubectl config set-cluster kubernetes \
  --insecure-skip-tls-verify=true \
  --server=${KUBE_APISERVER} 
$ # 设置客户端认证参数
$ kubectl config set-credentials crd-admin \
 --token=7176d48e4e66ddb3557a82f2dd316a93 
$ # 设置上下文参数
$ kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=crd-admin  \
  --namespace=crd 
$ # 设置默认上下文
$ kubectl config use-context kubernetes

  • 使用命令 head -c 16 /dev/urandom | od -An -t x | tr -d ' ' 生成token

kube-apiserver设置

添加kube-apiserver端token证书

$ cat > /etc/kubernetes/pki/token_auth_file<<EOF
7176d48e4e66ddb3557a82f2dd316a93,crd-admin,1
 EOF

  • 第一列为刚刚生成的token,要与config里的token一致

  • 第二列为user, 要与config里的use一致

  • 编号或是序列号

添加kube-spiserver启动参数 --token-auth-file=/etc/kubernetes/pki/token_auth_file

  • 注意地址

  • 需要重启kube-apiserver

  • 证书验证和token和同时启用的,但是token和用户名密码,不可同时启用

配置客户端RBAC相关

限制 crd-admin 用户的行为,需要使用 RBAC 将该用户的行为限制在crd namespace 空间范围内

kubectl create -f crd-rbac.yaml

这样 crd-admin 用户对 crd namespace 具有完全访问权限。

crd-rbac.yaml具体内容:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: crdadmin-admin-binding
  namespace: crd
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: crd-admin
kubernetes】部署kube-apiserverkubectl
weixin_45842494的博客
06-20 1093
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 710
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
kube获得token_配置kubectl客户端通过token方式访问kube-apiserver
weixin_29055137的博客
01-17 1167
帮助文档使用的变量本文档用到的变量定义如下:$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP$ export KUBE_APISERVER="https://${MASTER_IP}:6443"$创建 kubectl config 文件$ # 设置集群参数$ kubectl config set-cluster kubernete...
Kubernetes--api的管理和使用
最新发布
直到世界的尽头
03-21 729
RoleCronTabmetadata:spec:versions:- name: v1names:- ct最小权限原则:为ServiceAccount和用户赋予仅必需的权限(RBAC)。版本回滚策略:使用SemVer语言定义资源版本,确保兼容性。监控API调用率:通过Prometheus和Grafana监控APIServer的指标。
Docker(三十四)kubectl通过token 链接kube-apiserver
weixin_34082789的博客
01-16 766
kubectl config set-credentials tf-admin --token=***************kubectl config set-cluster tf-cluster --insecure-skip-tls-verify=true --server=https://{kube-apiserver}kubectl config set-cont...
Kubernetes基础:Token方式使用Restful API
知行合一 止于至善
09-03 6100
这篇文章结合curl命令介绍一下使用token方式访问Restful API的方式
Kubernetes核心组件篇 (二) : 核心组件Kube-ApiServer
BearStarX的博客
03-17 967
一、Kube-ApiServer简介 Kube-ApiServer是etcd的唯一访问和操作入口,ApiServer对外和对内都提供了一套统一的REST API,用户可以通过kubeclt命令请求ApiServer进行操作,而Kubernetes内部组件都是通过一种watch机制去监控API Server中的资源变化,然后对其做一些相应的操作。 二、Kube-ApiServer作用 1、提供...
k8s二进制安装-5,安装kube-apiserver
大老表的博客
02-17 6182
下载kubernetes 二进制文件 cd /usr/local/src/ wget http://xxxxx/1.19/kubernetes-server-linux-amd64.tar.gz tar xzf kubernetes-server-linux-amd64.tar.gz kubernetes cd kubernetes/server/bin/ cp kube-apiserver kube-controller-manager kube-scheduler kubectl /opt/kuber
kubectl 连接 apiServer
海贼懒懒
12-10 3460
前提:现在已经有一个K8s集群,我们需要在本地(非master节点上)运行kubectl 步骤: 1 本地安装kubectl sudo apt-get update && sudo apt-get install -y apt-transport-https curl -s https://packages.cloud.google.com/apt/doc/apt-key....
【转载】nodePort: Invalid value valid ports is 30000-32767
jstang的博客
09-05 5618
原文链接:https://blog.youkuaiyun.com/wljk506/article/details/91869648 kubernetes 版本 1.14.3 provided port is not in the valid range. The range of valid ports is 30000-32767 在 Kubernetes(k8s) 创建 service 使用nodePor...
k8s-kubernetes常用命令,服务部署,可视化控制台Kubernetes Dashboard安装及token的生成
你是我的天晴
06-12 1734
上一篇文章介绍了怎么,现在我们来学习下kubernetes的常用命令我们直接通过部署可视化控制台kubernetes-dashboard来顺便学习下kubernetes的常用命令及服务的部署。
新建Token访问K8S apiserver
第一天
01-08 3239
我们管理K8s主要有两种方式,1是通过服务器上面的kubectl客户端,第二个就是api方式进行访问。可以正常访问,这里用-k 忽略掉了https证书。5、使用https证书访问api-server。新建一个createaccount.yaml。4、测试访问api-server。
k8s使用ServiceAccount Token方式访问apiserver
weixin_33754065的博客
11-22 2762
首先,如果是普通版kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki 下面。 使用命令: curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https...
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 7008
kubernetes查看用户token
循序渐进kubernetes-一文讲透token
weixin_43230594的博客
01-22 1174
为支持向 Time Bound Token(时间限制令牌)的逐步过渡,Kubernetes 提供了在 Kube API Server 中设置参数 --service-account-extend-token-expiration=true 的选项。失败的原因是,在文件 role.yaml 中,配置指定了 cluster-role-token-requester-blog 只能为服务账户生成token,无法查看 Pods。顾名思义,Long-Lived Token(长生命周期令牌)是指永不过期的令牌。
kubeconfig生成最高权限的token
ab1024249403的博客
02-26 1608
生成kubernetes集群最高权限admin用户的token,并通过kubeconfig文件在其他机器进行访问操作
Kubernetes集群安全配置案例
weixin_30924087的博客
09-30 546
Kubernetes 系统提供了三种认证方式:CA 认证、Token 认证 和 Base 认证。安全功能是一把双刃剑,它保护系统不被攻击,但是也带来额外的性能损耗。集群内的各组件访问 API Server 时,由于它们与 API Server 同时处于同一局域网内,所以建议用非安全的方式访问 API Server 效率更高。 接下来对集群的双向认证配置和简单认证配置过程进行详细说明。 双向认证...
需要token才能执行kubectl
02-25
<think>好的,我现在需要帮用户解答关于为什么使用kubectl需要token的问题。首先,回顾一下之前的对话,用户之前询问了为什么不在K8S的master和worker节点上也能执行kubectl命令,现在又接着问需要token才能执行kubectl。这表明用户可能在使用kubectl时遇到了权限问题,或者对认证机制不太清楚。 用户的问题核心是为什么需要token才能执行kubectl。首先,我需要确认用户对Kubernetes的认证机制了解程度。可能用户在使用kubectl时遇到了需要提供token的情况,或者他们在配置kubeconfig时使用了基于token的认证方式。 接下来,我需要解释Kubernetes的认证机制。Kubernetes API Server需要验证客户端的身份,而token是其中一种常见的认证方式。常见的认证方式包括客户端证书、Bearer Token、Basic Auth等。用户可能在使用ServiceAccount或者配置了基于token的认证,所以需要提供token。 然后,我需要说明在哪些情况下需要token。例如,使用ServiceAccount的token,或者在kubeconfig文件中配置了使用token的情况。比如,当用户通过kubectl --token=<TOKEN>指定token,或者在kubeconfig的user部分配置token字段,都会导致需要token才能执行命令。 另外,需要提醒用户token的安全性问题,比如token泄露可能导致集群被攻击,因此要妥善保管,并定期轮换。同时,用户可能需要了解如何生成和管理这些token,比如ServiceAccount自动生成token,或者手动创建。 用户可能的深层需求是希望了解如何正确配置kubectl的认证,或者解决因为缺少token而无法执行命令的问题。可能需要给出一些示例,比如如何从Secret中提取token,或者如何在kubeconfig中添加token认证。 还需要注意用户可能混淆了不同的认证方式,比如同时配置了证书和token,或者配置错误导致必须使用token。这时候需要解释如何检查kubeconfig文件,确认当前使用的认证方式。 最后,总结一下,执行kubectl需要token是因为配置了基于token的认证方式,确保用户具备访问集群的权限,同时需注意安全措施。用户可能需要具体的操作步骤来配置或解决相关问题,所以在回答中提供示例和步骤会更有帮助。</think>在 Kubernetes 中,执行 `kubectl` 命令需要 **身份认证(Authentication)**,而 **Token(令牌)** 是 Kubernetes 中一种常见的认证方式。以下是详细的解释: --- ### 一、为什么需要 TokenKubernetes API Server 是集群的核心组件,所有操作(如创建 Pod、查看 Deployment)都需要通过它完成。为了确保安全,API Server **必须验证客户端的身份**,而 Token 是身份认证的一种方式。 如果没有正确配置认证信息(如 Token、证书等),API Server 会拒绝请求,导致 `kubectl` 命令执行失败。 --- ### 二、哪些场景需要 Token? #### 1. **使用 ServiceAccount 的 Token** - **ServiceAccount** 是 Kubernetes 中给 Pod 或用户分配的权限实体,每个 ServiceAccount 会自动生成一个关联的 Secret,其中包含一个 `token`。 - **示例**: 当 Pod 内使用 ServiceAccount 访问 API Server 时,会自动挂载 Token 到 `/var/run/secrets/kubernetes.io/serviceaccount/token`。 ```bash # 从 Pod 内部使用 Token 访问 API Server curl -k -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://kubernetes.default/api ``` #### 2. **手动配置用户认证** - 如果你为某个用户配置了 **Bearer Token** 认证方式,执行 `kubectl` 时需要显式指定 Token- **示例**: ```bash kubectl --token=<TOKEN> get pods ``` #### 3. **kubeconfig 文件中使用 Token** - 在 `~/.kube/config` 文件中,如果某个用户的认证方式配置Token,则执行 `kubectl` 时会自动使用该 Token- **kubeconfig 示例**: ```yaml users: - name: my-user user: token: <TOKEN> # 直接指定 Token ``` --- ### 三、如何获取 Token? #### 1. **ServiceAccount 的 Token** - 查看 ServiceAccount 关联的 Secret: ```bash kubectl get serviceaccount <serviceaccount-name> -n <namespace> -o jsonpath='{.secrets[0].name}' ``` - 提取 Token: ```bash kubectl get secret <secret-name> -n <namespace> -o jsonpath='{.data.token}' | base64 -d ``` #### 2. **手动创建 Token(静态 Token)** - 在 API Server 的启动参数中配置静态 Token 文件(不推荐生产环境使用): ```yaml # /etc/kubernetes/manifests/kube-apiserver.yaml - --token-auth-file=/path/to/tokens.csv ``` `tokens.csv` 文件格式: ```csv <TOKEN>,<USERNAME>,<UID>,<GROUP1>,<GROUP2>,... ``` --- ### 四、为什么有时不需要显式指定 Token- **证书认证**:如果使用客户端证书(如 `admin.conf` 中的证书),`kubectl` 会自动通过证书认证,无需 Token- **其他认证方式**:如果配置了 OIDC、LDAP 或客户端证书,Token 可能不是必需的。 --- ### 五、安全注意事项 1. **Token 等同于密码**:泄露 Token 可能导致集群被入侵,需严格保密。 2. **限制 Token 权限**:通过 RBAC 为 ServiceAccount 或用户分配最小必要权限。 3. **定期轮换 Token**:ServiceAccount 的 Token 默认长期有效,建议定期更新。 --- ### 六、示例:使用 Token 执行 kubectl ```bash # 方式1:直接指定 Token kubectl --server=https://<API-SERVER-IP>:6443 --token=<TOKEN> --insecure-skip-tls-verify get pods # 方式2:将 Token 写入 kubeconfig kubectl config set-credentials my-user --token=<TOKEN> kubectl config set-context my-context --cluster=my-cluster --user=my-user kubectl config use-context my-context ``` --- ### 总结 需要 Token 才能执行 `kubectl` 是因为配置了基于 Token 的认证方式TokenKubernetes 身份验证的一种机制,确保只有合法用户或服务可以操作集群。实际使用中需结合 RBAC 控制权限,并严格遵守安全规范。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值