基于RBAC方式从Pod内访问API server

最新推荐文章于 2025-03-01 16:21:21 发布
最新推荐文章于 2025-03-01 16:21:21 发布
阅读量4.6k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Kubernetes cluster 文章标签: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013431916/article/details/80057369
本文介绍了如何在Kubernetes中通过创建自定义的ServiceAccount和服务角色绑定(ClusterRoleBinding)来实现基于角色的访问控制(RBAC),并演示了如何在Pod内部利用这些设置来访问Kubernetes API Server。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC

当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。

然而在Pod内要想访问API server,更常用的方法是利用service account来验证权限。不幸的是,Kubernetes默认提供的default service account的权限非常有限,很多api的请求都无权执行。因此,需要创建一个拥有高权限的service account。基本方法就是:创建一个具有高权限的role(包括Role和ClusterRole),然后将这个具有高权限的role和一个新的service account绑定起来(绑定方法包括RoleBinding和ClusterRoleBinding)。具体内容可以查看Kubernetes RBAC

这里为了简便,直接利用了cluster-admin role。当然你也可以自己定制自己的role。

如service-account-rbac.yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: myserviceaccount
  namespace: default

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1alpha1
metadata:
  name: myserviceaccount
subjects:
  - kind: ServiceAccount
    name: myserviceaccount
    namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

使用kubectl创建serviceaccount和clusterrolebingding。这样在default命名空间就会创建好一个名为myserviceaccount的service account。

新创建Pod时,显式地加入新创建的service account(否则会自动加入默认的default这一service account),在pod中的/var/run/secrets/kubernetes.io/serviceaccount/目录下可以查看到service account的内容。

这时,可以在pod中安装kubernetes的客户端:kubernetes-client/python

可以源码安装,也可以使用pip。

# pip install kubernetes==5.0.0

由于使用的kubernetes版本为1.9,官方推荐的kubernetes-client的适配版本为5.0,这里指定安装5.0.0版本。

在pod中尝试运行python/examples/in_cluster_config.py

如果能够输出pod的列表,则成功了。


参考:

1. Accessing Clusters

2. Kubernetes RBAC

3. kubernetes-client/python

4. follow-me-install-kubernetes-cluster/09-部署Dashboard插件.md

深入解析 kube-apiserver:从基础到实战应用
颜淡慕潇
10-08 7742
Kubernetes 是现代容器编排的核心工具,而 `kube-apiserver` 则是 Kubernetes 集群的关键组件之一。它是所有 Kubernetes API 请求的入口,负责处理集群的状态和配置。本文将详细介绍 `kube-apiserver` 的基础知识、架构、配置、性能优化以及实战应用。
26、Kubernetes 安全与访问控制:Pod 安全准入与 RBAC 详解
最新发布
peace的博客
07-16 26
本文详细解析了 Kubernetes 中的 Pod 安全准入和基于角色的访问控制(RBAC)机制,介绍了如何通过配置安全策略和权限管理来提升集群的安全性。内容涵盖 Pod 安全准入的安装、策略设置与调试方法,以及 RBAC 的角色定义、身份管理和服务账户配置,同时提供了最佳实践建议和常见问题解答,帮助读者构建更安全、稳定的 Kubernetes 环境。
pod 通过 serviceAccount 访问 ApiServer
WayJasy的博客
09-07 780
pod 通过 serviceAccount 访问 k8s Apiserver
Pod 内是如何与 APIServer 进行交互的
weixin_45541397的博客
04-24 1013
Pod 如何访问 API-Server
pod中使用脚本 curl 访问 kubernates的apiserver接口
qq_38371367的博客
04-16 1438
参考官方,自己记录一下 前言 本文仅记录使用 curl shell命令访问集群的apiserver,其他开发语言库可以在官方处找到: 客户端库: https://kubernetes.io/zh/docs/reference/using-api/client-libraries/ 官方从 Pod访问 Kubernetes API描述: https://kubernetes.io/zh/docs/tasks/run-application/access-api-from-pod/ 访问 REST API
Pod访问 Kubernetes API
zgn666的博客
07-26 588
# 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat ${SERVICEACCOUNT}/token) # 引用内部.
K8S ApiServer:各个pod是如何访问kube-apiserver的?
学亮编程手记
11-05 602
这样一来,其他pod访问kube-api-server的整个流程就是:pod创建后嵌入了环境变量,pod获取到了kubernetes这个服务的ip和443端口,请求到kubernetes这个服务其实就是转发到了master节点上的6443端口的kube-api-server这个pod里面。这个服务的ip地址是clusterip地址池里面的第一个地址,同时这个服务的yaml定义里面并没有指定标签选择器,在命名空间的kube-system命名空间里,有一个名称为kube-api-master的pod
Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析
毛毛的专栏
06-04 2009
四个静态Pod Yaml文件解析
k8s流控平台apiserver详解
m0_51586984的博客
06-28 2325
panic处理,不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群, 开始做数据传输是http协议,header过来的时候加一点信息,集群联邦过来的时候改一点信息max-in-flight:做限流的,多少在路上,上限是多少,是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象,是的话,判断不是的话json做反序列化为go的对象做conversion。
如何使用curl访问k8s的apiserver
阿里云云栖号
06-24 6104
使用TOKEN授权访问api-server在k8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名+密码的认证方式 通常的运维场景使用第二种Token较为方便Token的权限是关联service acc...
RBAC在k8s中的应用
qq_22548549的博客
12-11 303
k8s中基于角色的权限控制
K8s 使用 kubectl 访问 api-server 失败,node “XXX“ not found
热门推荐
日常学习与专研的记录
05-30 1万+
本文提供一种解决思路,解决 node not found 的问题。
k8s基于RBAC的权限控制,赋予pod访问k8s API的权限
weixin_47729423的博客
04-13 2285
部署在k8s集群中的应用,有些需要拥有访问k8s API服务器的权限,比如说获取当前命名空间下的pod,svc等资源。k8s通过RBAC规则来赋予用户、pod、组相应的权限。其中pod使用一种称为service accounts的机制,下面我们来实践如何为pod中的应用添加权限。 首先需要在命名空间中创建serviceaccount资 yaml详细内容如下: 接着创建role(角色),role中包含角色所具有的功能,yaml内容如下: yaml中定义了角色有获取default命名空间中pods的权限。
k8s 中基于RBAC 控制pod访问权限
weixin_43632687的博客
04-10 474
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
KubernetesPod 访问 API Server 的权限控制机制详解
路多辛的所思所想
03-01 1049
Kubernetes 的设计理念中,确保对集群资源的安全访问是至关重要的。当部署在 Kubernetes 中的服务需要与 API Server 交互时,Kubernetes 也是采用了基于角色的访问控制(RBAC)机制来管理服务调用权限的范围的。通过 RBAC,管理员可以控制哪个服务可以访问哪些资源以及可以执行什么操作。这个机制会涉及到几个关键概念:ClusterRole、ClusterRoleBinding、Role、RoleBinding 和 ServiceAccount。
win节点pod无法连接apiserver的svc
记录有价值的内容
09-03 579
win节点pod无法连接apiserver的svc 1. 错误现象 pod无法连接api-server 转存失败重新上传取消 flannel 日志有问题无法连接 2. 问题原因及解决方法 问题原因 win节点中有两个网卡,kubelet在往etcd写nodeIP的时候选择的不是flannel的那张网卡,选择的那张网卡不是k8s的业务网卡,kube-proxy做地址伪装的时候就也给了一个错的地址。 解决方法 重启kubelet 设定那个nod
pod访问kubernetes API server
russle的专栏
04-05 6187
本文接上一篇介绍如何从pod内部访问kubernetes API server。 所有的pod默认都关联上一个serviceAccount,只要该serviceAccount有权限访问访问的资源对象,就可以直接访问。 我们使用default namespace中default serviceAccount, 提前创建了一个role并将default和该role进行roleBinding。 前提 ...
k8s 配置的各种策略讲解(镜像拉取、资源配额、钩子函数、容器探测、调度策略等等)
小毕超博客
08-16 3437
一、Pod 每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类: 用户程序所在的容器,数量可多可少 Pause容器,这是每个Pod都会有的一个根容器,它的作用有两个: 可以以它为依据,评估整个Pod的健康状态 可以在根容器上设置Ip地址,其它容器都此Ip(Pod IP),以实现Pod内部的网路通信 Pod内部的通讯采用的虚拟二层网络技术来实现,当前环境用的是Flannel Pod的资源清单 apiVersion: v1 #必选,版本号,例如v1 kind: Pod
Kubernetes核心原理(一)之API Server
mamengna的博客
12-10 858
1. API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd); 是资源配额控制的入口; 拥有完
podapiserver 交互是怎怎么交互的
04-02
<think>嗯,用户问的是KubernetesPodAPI Server的交互方式。首先,我需要回忆一下Kubernetes的架构,API Server作为控制平面的核心组件,所有资源的操作都要经过它。Pod作为最基本的部署单元,它们之间的交互应该涉及到创建、更新、状态上报这些操作。 用户可能对Kubernetes的机制不太熟悉,所以需要从基础讲起。比如,Pod本身不会直接和API Server通信,而是通过kubelet来代理。这时候要解释kubelet的作用,它运行在每个节点上,负责管理Pod的生命周期。 接下来要考虑交互的具体流程。比如用户创建Pod时,会通过kubectl发送请求到API Server,然后API Server将信息存入etcd。然后调度器分配节点,目标节点的kubelet从API Server获取Pod定义,并启动容器。这里需要分步骤说明,可能还需要提到watch机制,kubelet会监听API Server的变化。 然后要考虑状态上报的部分,kubelet定期向API Server报告Pod的状态,比如Running、Pending等。这部分需要说明是kubelet主动上报,还是API Server主动查询,应该是kubelet主动更新状态到API Server。 还有可能用户想知道其他组件,比如控制器管理器如何通过API Server监控Pod状态,确保期望状态和实际状态一致。比如Deployment控制器发现Pod数量不足,会触发创建新的Pod。 另外,认证、授权和准入控制也是重要的部分,PodAPI Server的交互需要经过这些安全步骤。比如使用ServiceAccount进行身份验证,RBAC授权,以及可能的准入控制器修改请求。 用户可能还想知道具体的通信方式,比如REST API,使用HTTP协议,数据格式是JSON或Protobuf。这时候需要提到API Server的RESTful特性,以及客户端如何通过这些API进行操作。 可能还需要举例子,比如用户执行kubectl apply,这个命令是如何转化为API请求的,然后kubelet如何监听并获取信息。或者Pod中的应用使用客户端库与API Server交互,比如监控其他Pod的状态,但这种情况较少,通常由控制器处理。 需要区分Pod内的应用和Pod本身的管理。大多数情况下,Pod内的应用不会直接与API Server交互,而是通过kubelet或其他组件。如果有特殊情况,比如需要扩容的自定义指标,可能需要通过Metrics Server或其他监控组件,但这也是间接的。 还要注意用户可能的误区,比如认为Pod自己主动联系API Server,但实际上主要是kubelet在中间协调。确保解释清楚各个组件之间的关系和职责。 最后,总结整个交互过程,确保结构清晰,步骤明确。可能需要用图表辅助,但文本描述要分步骤说明。检查是否涵盖了创建、更新、状态上报、监控等关键环节,以及安全机制和通信协议。</think>KubernetesPodAPI Server的交互是通过分层协作机制实现的。以下是关键步骤和原理的逐步解释: --- ### **1. 交互主体:kubelet代理** Pod本身不直接与API Server通信,而是由**节点上的kubelet**作为代理完成交互: - kubelet持续监听API Server中属于本节点Pod的变更 - 当API ServerPod定义更新时,kubelet执行对应操作(如创建/销毁容器) --- ### **2. 核心交互流程** #### **(1) Pod创建流程** 1. **用户提交定义**:用户通过`kubectl apply`发送Pod YAML到API Server 2. **持久化存储**:API Server验证后存入etcd 3. **调度器介入**:调度器(Scheduler)通过Watch机制发现未调度的Pod,分配节点并更新Pod的`nodeName`字段 4. **kubelet拉取配置**:目标节点kubelet检测到新Pod分配,从API Server获取完整定义 5. **容器启动**:kubelet调用容器运行时(如Docker)创建容器 #### **(2) 状态上报** 1. **周期心跳**:kubelet每10秒(默认)通过`NodeStatus`更新节点状态 2. **事件推送**: - 容器启动成功/失败 - 资源不足告警 - 健康检查异常 3. **状态同步**:kubelet将Pod的`status`字段(如`Running`/`Pending`)实时更新到API Server --- ### **3. Watch机制实现实时同步** ```go // 伪代码示例:kubelet通过List-Watch监听Pod变化 watcher := client.CoreV1().Pods("").Watch(context.TODO(), metav1.ListOptions{ FieldSelector: "spec.nodeName=node-1", // 过滤本节点Pod }) for event := range watcher.ResultChan() { switch event.Type { case watch.Added: createPod(event.Object) case watch.Modified: updatePod(event.Object) case watch.Deleted: deletePod(event.Object) } } ``` --- ### **4. 安全通信层** 所有交互需通过三重安全校验: 1. **认证**:ServiceAccount Token或客户端证书 2. **授权**:RBAC检查操作权限(如是否允许get pods) 3. **准入控制**:修改请求(如自动注入sidecar容器) --- ### **5. 特殊场景交互** #### **(1) Readiness/Liveness探针** - kubelet本地执行健康检查 - 结果通过status.conditions更新到API Server - 控制器(如Deployment)根据状态决定是否重启Pod #### **(2) Horizontal Pod Autoscaler** 1. Metrics Server收集指标 2. HPA控制器通过API Server获取指标数据 3. 计算所需副本数并修改Deployment的`replicas`字段 --- ### **6. 协议与数据格式** | 交互方向 | 协议 | 数据格式 | 典型操作 | |---------|------|---------|---------| | kubelet → API Server | HTTPS | JSON/Protobuf | UpdateStatus, CreateEvent | | API Server → kubelet | HTTP/2 | Stream(用于exec/logs请求) | Exec, Logs, PortForward | --- ### **总结架构图** ``` 用户/控制器 │ ▼ kubectl apply API Server ↔ etcd ▲ │ Watch │ ▼ 调度器 → 分配节点 ▲ │ List-Watch ▼ kubelet ↔ 容器运行时 ``` 这种设计实现了声明式API的核心特性:用户声明期望状态,系统通过控制器不断调和实际状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值