K8S获取连接token

Kubernetes管理:创建管理员账户与获取token的过程
最新推荐文章于 2025-06-10 17:28:49 发布
原创 最新推荐文章于 2025-06-10 17:28:49 发布 · 3.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #java #docker

本文介绍了如何在Kubernetes中创建具有管理员权限的ServiceAccount,处理RBAC版本问题,获取并使用dashboard-admin的token,以及验证masterURL连接。

1、创建一个具有管理员权限的账户

下载或拷贝文件到主机上,vi k8s-admin.yml

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: dashboard-admin
  namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: dashboard-admin
subjects:
  - kind: ServiceAccount
    name: dashboard-admin
    namespace: kube-system
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

# kubectl apply -f k8s-admin.yml 

# kubectl apply -f k8s-admin.yaml 
serviceaccount/dashboard-admin created
error: unable to recognize "k8s-admin.yaml": no matches for kind "ClusterRoleBinding" in version "rbac.authorization.k8s.io/v1beta1"

报错,将rbac.authorization.k8s.io/v1beta1修改为rbac.authorization.k8s.io/v1

这是版本不一致的问题。修改完后,继续执行。 

# kubectl -n kube-system get sa dashboard-admin -o yaml

生成一个secrets.

# kubectl apply -f k8s-admin.yml 
serviceaccount/dashboard-admin created
Warning: rbac.authorization.k8s.io/v1beta1 ClusterRoleBinding is deprecated in v1.17+, unavailable in v1.22+; use rbac.authorization.k8s.io/v1 ClusterRoleBinding
clusterrolebinding.rbac.authorization.k8s.io/dashboard-admin created
# kubectl -n kube-system get sa dashboard-admin -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"dashboard-admin","namespace":"kube-system"}}
  creationTimestamp: "2023-08-28T06:33:09Z"
  name: dashboard-admin
  namespace: kube-system
  resourceVersion: "15785"
  uid: 0c1b6aac-2620-43ee-93c2-1d4490ae6bdb
secrets:
- name: dashboard-admin-token-v2lqr

2、获取新建账户的token

通过获取secrets的值,得到token值

# kubectl describe secret dashboard-admin-token-v2lqr  -n kube-system
Name:         dashboard-admin-token-v2lqr
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: dashboard-admin
              kubernetes.io/service-account.uid: 0c1b6aac-2620-43ee-93c2-1d4490ae6bdb

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1066 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IndoSkNITi05Zmo4eXkxbFQ2QXd3dlI4TWNWYUNmTFhNQ3FGcDk3b0ZCSTQifQ.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.GpgsEjwlatbMLVHNmiOJ2NoNiQ7Dxmhy5w-6RsieoYqZh2OYhsZ4oIIMJv0qAYvt6Ynogm-0okrvXW6bsMaUS1vlNzlH2hrkriMZ8hTGKWLL-rAHu7A6HDGOnJwrmuicmyzTCm9v-38Sbp256X3F9dgWPYilf5CADxxXStJA7mV75R2QTcb9UauwvFU6LX4cXoOp63E7YCntAJqMPLNL4sLtKX2FhadOnqsuihzpxSKnse7feew4uFvaW4Yd2eF1dkHsg9RRs18CeUwKedNBCpA5GaFWcA09i9FPeP-Yezl4Hp5wXcdWmI9cyWuQ1Ku4XZSqM0422xujki8ns6pSMg

获取masterurl信息,能看到具体的ip:6443端口

$ kubectl describe svc kubernetes
Name:              kubernetes
Namespace:         default
Labels:            component=apiserver
                   provider=kubernetes
Annotations:       <none>
Selector:          <none>
Type:              ClusterIP
IP Family Policy:  SingleStack
IP Families:       IPv4
IP:                172.96.0.1
IPs:               172.96.0.1
Port:              https  443/TCP
TargetPort:        6443/TCP
Endpoints:         xx.xx.xx.xx:6443
Session Affinity:  None
Events:            <none>

编写代码测试连接

package com.sk.asia.k8s.api.service;


import io.fabric8.kubernetes.api.model.NamespaceList;
import io.fabric8.kubernetes.client.Config;
import io.fabric8.kubernetes.client.ConfigBuilder;
import io.fabric8.kubernetes.client.DefaultKubernetesClient;
import io.fabric8.kubernetes.client.KubernetesClient;

public class ApiService {
    public static void  main(String[] args){
        String base64Token = "eyJhlc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkYX-----token------qwUsVtPbwQV2-mnRPK43Eond-Hu8VyoEeRnU10gNl055EC4tg";

        String masterUrl = "https://xx.xx.xx.xx:6443";
        Config config = new ConfigBuilder()
                .withTrustCerts(true)
                .withMasterUrl(masterUrl)
                .withOauthToken(base64Token)
                .build();

        KubernetesClient client = new DefaultKubernetesClient(config);
        NamespaceList namespaceList = client.namespaces().list();
        namespaceList.getItems()
                .forEach(namespace ->
                        System.out.println(namespace.getMetadata().getName() + ":" + namespace.getStatus().getPhase()));
    }
}

运行结果

SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder".
SLF4J: Defaulting to no-operation (NOP) logger implementation
SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder for further details.
default:Active
kube-flannel:Active
kube-node-lease:Active
kube-public:Active
kube-system:Active
kuboard:Active

Process finished with exit code 0

通过curl访问k8s集群获取证书或token的方式
码农崛起
01-22 3552
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。• 资源操作方法:get,list,create,update,patch,watch,delete。创建k8s的用户,用户分为普通用户和serviceAccount用户。serviceAccount:内部集群资源直接访问的用户。
全栈工程师工作干货总结(一)
算法小生
12-02 586
【代码】获取K8SToken命令。
(四)部署k8s dashboard web端管理界面
RSQ博客
02-25 8827
文章目录1 token令牌认证登录2 kubeconfig配置文件登录 (1)参考github https://github.com/kubernetes/dashboard (2)获取dashboard image镜像 [root@master1 manifests]# docker pull registry.cn-hangzhou.aliyuncs.com/rsqlh/kubernete...
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 7201
kubernetes查看用户token
k8s api token获取
caohuixue_2021的博客
09-26 570
通过yaml文件创建ClusterRoleBinding。编写yaml文件如上图,并apply到k8s。创建serviceAccount。获取到的就是token
获取 K8S 集群管理员 Token 的命令
最新发布
学亮编程手记
06-10 807
管理员 Token 拥有集群的完全控制权限,请谨慎使用并妥善保管。不建议在生产环境中长期使用管理员 Token,而应该使用 RBAC 分配最小必要权限。
k8s登陆token获取命令
m0_48038376的博客
04-15 5830
kubectl -n kube-system describe $(kubectl -n kube-system get secret -n kube-system -o name | grep namespace) | grep token
获取k8s admin token
RayPick的博客
06-01 4463
具体操作环境: 我们用程序调用Kubernetes API 时,需要使用KubernetesToken Service Account 对象的作用就是 K8s 系统内置的一种“服务账户”,是 Kubernetes 进行权限分配的对象。比如, Service Account1 ,可以只被允许对 Kubernetes API 进行 GET 操作,而 Service Account2,则可以有 Kubernetes API 的所有操作权限。 2.应用k8s-admin.yaml配置 3.获取admin-to
【架构】rancher集群获取k8stoken
wjianwei666的专栏
02-02 772
获取Token的示例代码中,首先使用kubectl get serviceaccount命令获取服务账号的Secret名称,然后使用kubectl get secret命令获取Secret的具体信息。这个脚本首先导入yaml模块来解析YAML格式的内容,然后遍历Kubeconfig文件中的所有用户,直到找到包含Token的用户为止。通过本文的介绍,我们了解了在Rancher集群中获取K8SToken的步骤和相应的代码示例。在你选择的集群页面中,点击“Kubeconfig File”按钮。
jumpserver管理k8s集群(token认证)
qq_25934401的博客
08-13 2875
1.创建集群权限的SA ,并绑定ClusterRole:cluster-admin cat jumpserver-admin.yaml apiVersion: v1 kind: ServiceAccount metadata: name: jumpserver-admin namespace: kube-system --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: ju
k8s】创建基于sa的token的kubeconfig
binqian的专栏
12-03 941
创建一个基于sa的token的kubeconfig文件,并用这个文件来访问集群。
jenkins 用户认证token的方式连接k8s
weixin_42562106的博客
04-23 2492
helm install my \ --set jenkinsUser=admin \ --set jenkinsPassword=123qweasd \ --set persistence.enabled=true \ --set persistence.storageClass="openebs-hostpath" \ --set persistence.size=5Gi \ bitnami/jenkins rbac授权 Jenkins通过kubernetes-plugin对
k8s获取apiserver token命令
学亮编程手记
09-05 1404
【代码】k8s获取apiserver token命令。
k8s dashboard token 生成/获取
牛奔的博客
09-11 1651
创建示例用户 在本指南中,我们将了解如何使用 Kubernetes 的服务帐户机制创建新用户、授予该用户管理员权限并使用与该用户绑定的承载令牌登录仪表板。 对于以下每个和的代码片段ServiceAccount,ClusterRoleBinding您都应该将它们复制到新的清单文件(如)中,dashboard-adminuser.yaml并使用kubectl apply -f dashboard-...
k8s v1.24.1 dashboard面板获取tocken
m0_61237221的博客
06-10 2316
k8s v1.24.1 dashboard面板获取tocken
『高效管理Kubernetes子节点』解析K8S集群Token查询与重新生成的方式
老陈聊架构
01-16 3168
K8S子节点加入集群Token查询及重新生成
kube获得token_获取k8s admin token的方法
weixin_39520393的博客
01-17 1350
vim k8s-admin.yamlapiVersion: v1kind: ServiceAccountmetadata:name: dashboard-adminnamespace: kube-system---kind: ClusterRoleBindingapiVersion: rbac.authorization.k8s.io/v1beta1metadata:name: dashboard...
蓝易云:配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
高性价比服务器就选:蓝易云
10-15 687
首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到ServiceAccount上。现在,你已经成功配置了一个拥有管理员权限的ServiceAccount,并获取了它的Token。ServiceAccount的Token是用于身份验证的凭证。注意:ServiceAccount的Token具有管理员权限,因此请妥善保管和使用。字段的那一行,后面的长字符串就是ServiceAccount的Token
k8s中的 secret token
weixin_42072280的博客
05-07 3617
生成kubernetes集群最高权限admin用户的token kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: admin annotations: rbac.authorization.kubernetes.io/autoupdate: "true" roleRef: kind: ClusterRole name: cluster-admin apiGr
k8s集群token
01-01
### 如何生成和管理Kubernetes集群的Token认证 #### 查询现有Token 为了查看当前Kubernetes集群中存在的Token,可以通过`kubectl`命令来获取这些信息。具体来说,在命名空间`kube-system`下查找类型为`bootstrap.kubernetes.io/token`的秘密资源(secret),这通常包含了用于加入新节点所需的临时凭证。 ```bash [root@k-master token]# kubectl -n kube-system get secrets ``` 上述命令会列出所有的秘密对象及其基本信息,其中就包括了由`kubeadm`创建用来引导新的控制平面或工作节点加入集群所必需的身份验证令牌[^1]。 #### 使用Token连接至集群 当拥有有效的Token之后,就可以利用它构建完整的`kubeadm join`指令来进行节点注册: ```bash kubeadm join 192.168.47.141:6443 --token 8i4u54.b9e76zz08r3c7ghu \ --discovery-token-ca-cert-hash sha256:9f14112c56a57f3e35bce52be55968faf457e791cdd40d93fef731222fc63393 ``` 这条语句中的IP地址代表API服务器的位置;而后面的参数则指定了实际使用的Token以及CA证书哈希值以供身份验证过程使用[^2]。 #### 创建新的Token 如果发现无法找到任何可用的Token或者希望手动增加额外的安全措施,则可通过下面的方法自动生成一个新的Token并打印出相应的`join`命令: ```bash kubeadm token create --print-join-command ``` 此操作不仅能够提供最新的访问凭据,还允许管理员灵活地调整哪些机器被授权接入集群环境内。 #### 安全实践建议 对于生产环境中运行的Kubernetes集群而言,定期轮换Token是非常重要的安全策略之一。这样可以减少因长期不变而导致泄露风险的可能性,并确保只有经过最新一轮审核后的设备和服务才具备合法进入权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值