pod 通过 serviceAccount 访问 ApiServer

最新推荐文章于 2024-09-15 03:46:16 发布
最新推荐文章于 2024-09-15 03:46:16 发布
阅读量776 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: docker Linux 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pall_scall/article/details/126742248
本文介绍了如何在Kubernetes中创建并使用ServiceAccount进行API访问控制。通过创建ServiceAccount、Role和RoleBinding,为Pod授予访问apiserver的权限,详细阐述了每个步骤的作用和配置文件内容。最后,展示了如何在Pod内部使用ServiceAccount进行apiserver操作的示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。

以下步骤基于最简单场景:pod 内容器访问apiserver操作pod。
依赖:client-go

步骤:

1、创建serviceaccount

yaml文件 sa.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  name: example-sa # serviceAccount名
  namespace: default   # 所属命名空间

kubectl apply -f sa.yaml

2、创建role

role 即一个account能够访问的权限
role.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
    name: example-role
    namespace: default
rules:
    - apiGroups:
        - ''
      resources:  # 能够访问的资源
        - 'pods'
      verbs:      # 能够执行的动作
        - 'create'
        - 'delete'
        - 'get'
        - 'list'
        - 'patch'

kubectl apply -f role.yaml

3、创建roleBinding

使用 roleBinding 将 serviceAccount 与 role 进行绑定

roleBinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
    name: example-rolebind
    namespace: default
subjects:
    - kind: ServiceAccount
      name: example-kubeconfig
      namespace: default
roleRef:
    kind: Role
    name: example-role
    apiGroup: rbac.authorization.k8s.io

kubectl apply -f roleBinding.yaml

4、 pod 内使用创建的 serviceAccount

pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: example
  namespace: default
spec:
  serviceAccount: example-sa
  initContainers: # 省略

kubectl apply -f pod.yaml

5、编写测试程序

    // 部分代码
	kubeconfig, err := rest.InClusterConfig()
	if err != nil {
		log.Println(err)
		return nil
	}
	clientset, err := kubernetes.NewForConfig(kubeconfig)
	if err != nil {
		log.Println(err)
		return nil
	}

InClusterConfig 方法会获取当前环境下的pod绑定的service account信息,并生成配置。 NewForConfig 根据配置初始化apiserver client。可通过该client去操作pod。

6、将程序放入pod中执行。

End

k8s pod 中通过service account 访问API Server
shangtaobocdns的博客
01-16 603
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: myns name: myrole rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["get", "list", "watch","create","update", "delete"]- apiGroups: [""] resources: ["pods", "
Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 1994
四个静态Pod Yaml文件解析
pod-reader:使用kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本
02-11
吊舱阅读器 使用Kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本。 构建容器后,预期用途如下: $ kubectl run pod-explorer --image=pod-explorer:1.0 -- < target> $ kubectl logs pod-explorer 使用此容器进行测试的一种简便方法是创建一个别名,以使用以下命令浏览Pod(假设使用default名称空间): $ alias reader= ' kubectl run pod-explorer --image=pod-explorer:1.0 -- default ; \ sleep 5 ; kubectl logs pod-explorer ; \ kubectl
Kubernetes Pod中使用Service Account访问API Server
xiaomin1991222的专栏
03-10 587
Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。 然而,在生产环境中,Kubernetes API Server都是“设防”的。在《Kubernetes集群的安全配置》一文中,我提到过:Kubernetes通过client cert、static toke...
基于RBAC方式从Pod访问API server
u013431916的博客
04-23 4693
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
Pod 内是如何与 APIServer 进行交互的
weixin_45541397的博客
04-24 1002
Pod 如何访问 API-Server 的
pod中使用脚本 curl 访问 kubernates的apiserver接口
qq_38371367的博客
04-16 1427
参考官方,自己记录一下 前言 本文仅记录使用 curl shell命令访问集群的apiserver,其他开发语言库可以在官方处找到: 客户端库: https://kubernetes.io/zh/docs/reference/using-api/client-libraries/ 官方从 Pod访问 Kubernetes API描述: https://kubernetes.io/zh/docs/tasks/run-application/access-api-from-pod/ 访问 REST API
K8S - 用service account 登陆kubectl
最新发布
nvd11的专栏
09-15 825
刚安装好k8s时我就可以用kubectl 在master server里管理k8s的资源。这时我们是感觉不到 k8s的用户和权限管理存在的, 但是其实用户的配置都在kubeclt 的配置文件中/etc/kubernetes/admin.conf 中我们可以用下命令来查看当前正在用的帐号当我们把这个配置复制到另1台机器上, 那么那台机器也可以用kubernetes-admin 来登陆kubectl。
如何使用curl访问k8s的apiserver
阿里云云栖号
06-24 6100
使用TOKEN授权访问api-server在k8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名+密码的认证方式 通常的运维场景使用第二种Token较为方便Token的权限是关联service acc...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 1060
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
CKS1.23 考试题整理(6)-Pod指定ServiceAccount
april_4的博客
04-12 2275
题目 Task 1. 在现有namespace qa中创建一个名为backend-sa的新ServiceAccount, 确保此ServiceAccount不自动挂载API凭据。 2. 使用 /cks/sa/pod1.yaml中的清单文件来创建一个Pod。 3. 最后,清理namespace backend中任何未使用的ServiceAccount。 自己的思考 Pod 关联service account ,然后service account 和clusterrole绑定,赋予一定的角色,不然
Pod访问 Kubernetes API
zgn666的博客
07-26 588
# 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat ${SERVICEACCOUNT}/token) # 引用内部.
【k8s】podserviceaccount关系
m0_45406092的博客
08-15 1512
PodServiceAccount 的联系体现在权限管理和安全控制上。通过 ServiceAccount,你可以控制 Pod 如何与 Kubernetes API 服务器交互,授予它们执行任务所需的最小权限,从而增强集群的安全性和管理性。
Kubernetes ServiceAccount 解决 pod 在集群里面的身份认证问题
小楼一夜听春雨,深巷明朝卖杏花
04-12 2643
ServiceAccount 介绍 接下来,我们讲一下 ServiceAccountServiceAccount 首先是用于解决 pod 在集群里面的身份认证问题,身份认证信息是存在于 Secret 里面。 [root@k8s-master ~]# kubectl get secret NAME TYPE DATA AGE default-token-j9294 kubernetes.io/s
关于ServiceAccount以及在集群内访问K8S API
ttropsstack的博客
05-26 437
这是因为ServiceAccount是用于身份验证和授权的一种机制,每个Pod都需要与一个ServiceAccount关联,以确定Pod在集群中的身份和权限。默认的ServiceAccount是为了确保在创建Pod时不会发生错误。如果没有显式地指定Pod要使用的ServiceAccountKubernetes会自动将命名空间的默认ServiceAccount分配给该Pod。这样,Pod就能够获得基本的权限和凭据,以便与集群中的其他组件进行通信。
如何通过 ServiceAccountPod 优雅访问 Kubernetes Api-Server
easylife206的专栏
01-02 353
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !事件背景某天早上刚到公司工位上,正准备开会。被一个业务组项目负责人抓住了,然后着急的说到:“老李啊,跟你说。昨天晚上准备要上线的 Ingressroutes 监控分析模块不能上线了,现在导致我们这边的数据清洗模块,根据计划今天下午应该能对接与接收数据的。现在怎么办?”,我突然一愣,怎么回事?然后找昨天晚上负责的运...
如何优雅的让 Pod 通过 ServiceAccount 访问 K8s api-server
云原生实验室
02-06 804
❝本文转自掘金 LEE 的博客,原文:https://juejin.cn/post/7195842444302123069,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang事件背景某天早上刚到公司工位上,正准备开会。被一个业务组项目负责人抓住了,然后着急的说到:“老李啊,跟你说。昨天晚上准备要上线的 Ingressroutes 监控分析模块不能上线了,现在导致我...
【k8s admission 学习】连接 k8s 集群 InClusterConfig 和 ServiceAccount
叮当猫的喵i
10-07 1555
ServiceAccount 挂载到 pod 后,一般会在/var/run/secrets/kubernetes.io/serviceaccount路径下(kubectl describe pod podname 会看到具体的挂载路径)实际上k8s中也有一个默认的serviceAccount:default,同样挂载在pod中的上述路径下,只是这个默认的serviceAccount权限很小,所以才会需要创建自定义的serviceAccount。如上:我们要操作pod资源,就要创建如下资源。
Kubernetes API服务安全防护
github_38730134的博客
03-05 223
Kubernetes API服务安全防护 用户和组 创建ServiceAccount vim prometheus-service-account.yml apiVersion: v1 kind: ServiceAccount metadata: name: prometheus 创建Cluster级别角色 vim prometheus-clusterrole.yml apiVersion: rbac.authorization.k8
pod如何访问到api组件
05-23
Kubernetes 中,可以使用 Kubernetes API server 来访问 API 组件。Pod 可以通过访问 Kubernetes API server 来与其他组件进行通信,例如获取集群状态信息、管理资源对象、执行操作等。Pod 可以通过以下方式访问 Kubernetes API server: 1. 使用环境变量:Kubernetes 会自动将 Kubernetes API server 的地址和证书等信息作为环境变量注入到 Pod 中,可以通过这些环境变量来访问 Kubernetes API server。 2. 使用 ServiceAccountPod 可以使用 ServiceAccount访问 Kubernetes API server。ServiceAccountKubernetes 中一种用于身份验证和授权的对象,可以为 Pod 提供访问 Kubernetes API server 的权限。 3. 直接访问Pod 可以直接访问 Kubernetes API server 的地址和端口,但需要手动配置证书等信息,并且不建议使用这种方式访问 Kubernetes API server。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值