一键生成基于 ServiceAccount 的 Kubernetes kubeconfig 文件

已于 2024-10-23 20:56:54 修改
阅读量686 收藏 5
点赞数 11
文章标签: kubernetes 容器 云原生
于 2024-10-23 20:27:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shida_csdn/article/details/143189351
版权

基于 ServiceAccount 的 kubeconfig 具有与 ServiceAccount 相同的权限,可以灵活地通过 ClusterRoleBinding 和/或 RoleBinding 进行权限控制,以及方便地进行账户吊销,本文介绍基于 ServiceAccount 快速生成 kubeconfig 文件的方法。

1. 准备 ServiceAccount

# 创建 ServiceAccount(例如 admin-user)
kubectl create sa admin-user -n kube-system

# 检查对应的 Secret 是否被自动创建
kubectl get secret -n kube-system admin-user
# 如果不存在,则需要手动创建 Secret(>=1.24 版本的 K8s 不再自动创建 Secret)
# 注意修改 kubernetes.io/service-account.name 为对应的 ServiceAccount 名字,这里即为 admin-user
# Secret 的 name 和 namespace 与 ServiceAccount 保持一致
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: admin-user
  namespace: kube-system
  annotations:
    kubernetes.io/service-account.name: admin-user
type: kubernetes.io/service-account-token
EOF

# 为 ServiceAccount 绑定权限(这里以绑定最高权限 cluster-admin 为例)
kubectl create clusterrolebinding admin-user --clusterrole=cluster-admin --serviceaccount=kube-system:admin-user

执行完上述操作,ServiceAccount 就准备好了

2. 生成 kubeconfig 文件

创建 generate-kubeconfig.sh 脚本,内容如下:

#!/bin/bash

# 开启错误捕获和显示
set -e
trap 'echo "Error occurred at line $LINENO while executing command: $BASH_COMMAND"' ERR

# 参数校验
if [ "$#" -ne 3 ]; then
    echo "Usage: $0 <serviceaccount-name> <namespace> <output-file>"
    exit 1
fi

SERVICE_ACCOUNT_NAME=$1
NAMESPACE=$2
OUTPUT_FILE=$3

# 获取当前上下文和集群名称
CURRENT_CONTEXT=$(kubectl config current-context)
CLUSTER_NAME=$(kubectl config get-contexts "$CURRENT_CONTEXT" | awk '{print $3}' | tail -n 1)

# 获取集群 API server 地址
SERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')

# 获取 ServiceAccount 的 Secret 名称,直接使用 SERVICE_ACCOUNT_NAME
SECRET_NAME=$SERVICE_ACCOUNT_NAME

# 获取 Token 和 CA 证书数据
TOKEN=$(kubectl get secret "$SECRET_NAME" -n "$NAMESPACE" -o jsonpath='{.data.token}' | base64 --decode)
CA_DATA=$(kubectl get secret "$SECRET_NAME" -n "$NAMESPACE" -o jsonpath='{.data.ca\.crt}')

# 创建 kubeconfig 文件
cat <<EOF > "$OUTPUT_FILE"
apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority-data: "$CA_DATA"
    server: "$SERVER"
  name: "$CLUSTER_NAME"
contexts:
- context:
    cluster: "$CLUSTER_NAME"
    user: "$SERVICE_ACCOUNT_NAME"
    namespace: "$NAMESPACE"
  name: "$SERVICE_ACCOUNT_NAME@$CLUSTER_NAME"
current-context: "$SERVICE_ACCOUNT_NAME@$CLUSTER_NAME"
users:
- name: "$SERVICE_ACCOUNT_NAME"
  user:
    token: "$TOKEN"
EOF
echo "Kubeconfig file has been written to $OUTPUT_FILE"

执行上述脚本,生成 kubeconfig:

用法参数列表:

generate-kubeconfig.sh [serviceaccount-name] [namespace] [output-file]

例如,本例即为:

bash generate-kubeconfig.sh admin-user kube-system admin-user-kubeconfig

3. 验证生成的 kubeconfig

kubectl get node --kubeconfig admin-user-kubeconfig

OUTPUT EXAMPLE:
NAME                 STATUS   ROLES           AGE     VERSION
1.28-control-plane   Ready    control-plane   5d22h   v1.28.0

4. 如何吊销该 kubeconfig

4.1 暂时禁用权限

可以通过删除 ServiceAccount 关联的 clusterrolebinding 禁用权限:

kubectl delete clusterrolebinding admin-user

kubeconfig 还能连接集群,但执行操作会报权限不足的错误:

kubectl get node --kubeconfig admin-user-kubeconfig

OUTPUT ERROR EXAMPLE:
Error from server (Forbidden): nodes is forbidden: User "system:serviceaccount:kube-system:admin-user" cannot list resource "nodes" in API group "" at the cluster scope

此种方式,可以暂时下掉用户权限,需要恢复时再创建 clusterrolebinding 恢复即可

4.2 完全禁止访问(永久)

可以通过删除 ServiceAccount 禁止访问:

kubectl delete sa admin-user -n kube-system

旧的 kubeconfig 已无法通过鉴权:

kubectl get node --kubeconfig admin-user-kubeconfig

OUTPUT ERROR EXAMPLE:
error: You must be logged in to the server (Unauthorized)

此种方式难以再恢复旧的 kubeconfig,属于永久删除,使用时需要重新生成新的 kubeconfig 文件。

附加 (基于 kubeadm 的方式)

使用 kubeadm 工具可以生成基于客户端证书鉴权的 kubeconfig 文件

例如生成 admin.conf 文件:

kubeadm kubeconfig user --client-name=kubernetes-admin --org system:masters > admin.conf

注意,上述命令生成的 kubeconfig 使用了 system:masters 特权组,不支持吊销,永久有效,不要泄漏!!!

可以通过使用 clusterrolebinding 的方式为 User 绑定权限,从而支持权限吊销,例如:

kubectl create clusterrolebinding foo-user --clusterrole=cluster-admin --user=foo-user
kubeadm kubeconfig user --client-name=foo-user > foo-user-kubeconfig

生成的 foo-user-kubeconfig 的样式如下,采用 client 证书鉴权:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: XXXXX
    server: https://172.18.0.2:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: foo-user
  name: foo-user@kubernetes
current-context: foo-user@kubernetes
kind: Config
preferences: {}
users:
- name: foo-user
  user:
    client-certificate-data: XXXXX
    client-key-data: XXXXX

验证 foo-user-kubeconfig 有效:

kubectl get node --kubeconfig foo-user-kubeconfig 

OUTPUT EXAMPLE:
NAME                 STATUS   ROLES           AGE     VERSION
1.28-control-plane   Ready    control-plane   5d22h   v1.28.0

吊销时,可以直接删除 clusterrolebinding,下掉权限即可:

kubectl delete clusterrolebinding foo-user

验证权限已被吊销:

kubectl get node --kubeconfig foo-user-kubeconfig 
Error from server (Forbidden): nodes is forbidden: User "foo-user" cannot list resource "nodes" in API group "" at the cluster scope
shida_csdn
关注
使用 kubeconfig 文件进行集群访问编程
PixelDyno的博客
09-08 195
使用 kubeconfig 文件进行集群访问编程Kubernetes 是一个开源的容器编排平台,它允许用户轻松管理和编排容器化应用程序。在 Kubernetes 中,使用 kubeconfig 文件来组织和配置集群访问信息。kubeconfig 文件包含了与 Kubernetes 集群通信所需的认证、授权和集群信息。本文将介绍如何使用 kubeconfig 文件进行集群访问编程,并提供相应的源代码示例。
搭建Kubernetes集群:一键部署利器 kubeadm
超级英雄吉姆的博客
07-16 895
这是从容器化技术一直到k8s专栏的第二篇。今天我们要了解kubeadm 的工作原理、使用方法以及其在 Kubernetes 部署中的优势和局限性,并详细介绍了如何从零开始搭建一个完整的 Kubernetes 集群 大家还想要什么内容,可以在文章或者公众号内给我留言。
k8s 集群给用户生成 kubeconfig 文件
小新没有蜡笔
10-11 998
在 k8s 集群的 RBAC 里有用到用户、组的概念,但是它又不直接管理这些资源,而是通过外部身份验证机制(Authentication Mechanisms)来管理和定义的,比如证书进行签名时,将其配置为 Subject: O = system:masters, CN = kubernetes-admin。O 代表用户组,CN 是用户,这些都是通过签署证书管理的。但是新版本可以直接通过命令去创建,我用的是 1.31。
Kubernetes 的配置 kubeconfig
小侠客的专栏
10-23 3145
kubernetes配置
循序渐进kubernetes-一文了解context与 .kubeconfig文件
最新发布
weixin_43230594的博客
03-15 749
Kubernetes Context 是一组命名的访问参数,定义了与 Kubernetes 集群通信所需的信息,包括集群的 API 服务器地址、身份认证详情以及默认命名空间。假设 Kubernetes 集群的 API 服务器地址为 https://my-cluster.example.com,需要配置 kubectl 以通过 .kubeconfig 文件与该集群进行通信。此命令会列出 .kubeconfig 文件中所有已配置的 Context,包括关联的集群、用户和命名空间等信息。
云原生|kubernetes|多集群管理之kubeconfig文件配置和使用(定义,使用方法,合并管理多集群)
zsk_john的技术分享专用博客
11-04 5426
kubeconfig文件的使用。
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2441
k8s如何生成一个完整的kubeconfig文件
Kubernetes kubectl config 对集群做配置
小楼一夜听春雨,深巷明朝卖杏花
10-22 1216
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
基于Kubeadm部署Kubernetes1.13.3 HA 高可用集群
热门推荐
nsydgs的博客
08-05 1万+
k8s部署
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 829
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
Kubeadm方式快速安装Kubernetes1.25.0 亲测无坑教程
和佬们一起快乐学习鸭!
10-16 1034
使用kukeadm方式快速安装kubernets1.25.0 亲测无坑教程
kubeadm 工具实验 k8s一键安装
wyq2070857323的博客
05-20 903
​​​​​​​。
【K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
运维、实施交付领域知识交流
08-07 1537
Kubernetes 专题 - 生成特定 Kubeconfig 文件
一文清晰理解 kubeconfig | 使用 kubeconfig 进行多集群管理 | context关系理解
aifeier的博客
01-02 3275
一文直接学会如何通过配置 kubeconfig 管理多集群
如何管理和切换多个 Kubernetes kubeconfig 文件
Mint6的博客
09-26 847
在开发和运维过程中,管理多个 Kubernetes 集群配置文件kubeconfig)可能会变得复杂。本文将介绍一种简化的方法,通过合并多个 kubeconfig 文件并轻松切换上下文。是一个开源工具,可以更方便地管理和切换 Kubernetes 上下文。将所有 kubeconfig 文件下载到一个文件夹中,例如。
k8s中kubeconfig的配置以及使用详解
墨鸦的博客
08-03 9811
k8s中kubeconfig的配置以及使用详解
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
weixin_42896216的博客
03-16 929
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
使用serviceaccount制作kubeconfig文件
kevin的专栏
03-15 2628
背景 有时为了需要,我们需要给出一些具有特定集群权限的kubeconfig文件,这时我们可以通过使用serviceAccount来制作具有一定集群权限的kubeconfig 下面我们来使用这一技术创建一个只有greenstock命名空间权限的pod读取权限的kubeconfig 代码来源:https://gist.github.com/innovia/fbba8259042f71db9...
通过ServiceAccount创建eks集群的kubeconfig文件来绕过IAM鉴权
kingu_crimson的博客
05-26 2066
至此,我们通过创建 SA 的方式生成了包含其 Secret TOKEN的 kubeconfig文件,并且通过该文件访问 kube- APIserver 能够有效避开 IAM 鉴权,能够加强我们敲 kuebctl命令的体验,并且通过这种方式,也能够根据不同的 clusterrole & role 去生成不同的 kubeconfig 文件做权限的分发。建立 Amazon EKS 的 kubeconfig管理服务账号通过将多个 kubeconfig 文件合并为一个来进行K8S多集群统一管理。
ubuntu k8s集群kubesphere部署
02-22
### Ubuntu 上搭建 Kubernetes 集群并部署 KubeSphere 平台 #### 准备工作 为了确保顺利安装,在开始之前需确认系统环境已准备好。对于Ubuntu系统,建议先更新软件源列表并升级现有包。 ```bash sudo apt-get update && sudo apt-get upgrade -y ``` #### 安装 CRI-Dockerd 由于Kubernetes不再支持原生Docker作为容器运行时,因此需要安装`cri-dockerd`来兼容旧版应用[^2]。 1. 下载适用于Ubuntu系统的`.deb`包: ```bash wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.4/cri-dockerd_0.3.4.3-0.ubuntu-focal_amd64.deb ``` 2. 使用 `dpkg` 命令完成安装: ```bash sudo dpkg -i cri-dockerd_0.3.4.3-0.ubuntu-focal_amd64.deb ``` 3. 修改服务启动参数以适应CNI网络插件的要求: ```bash sudo sed -i -e 's#ExecStart=.*#ExecStart=/usr/bin/cri-dockerd --container-runtime-endpoint unix:///var/run/cri-dockerd.sock --network-plugin cni#g' /lib/systemd/system/cri-docker.service ``` 4. 启动并启用该服务: ```bash sudo systemctl daemon-reload sudo systemctl enable cri-dockerd sudo systemctl start cri-dockerd ``` #### 初始化 Kubernetes 主节点 接下来按照官方文档指导进行主控节点初始化操作。这里假设读者已经熟悉了基本概念以及相关命令行工具的使用方法。 ```bash sudo kubeadm init --pod-network-cidr=10.244.0.0/16 ``` 此过程会生成一系列用于加入其他worker节点所需的token信息,请妥善保存以便后续步骤中使用。 #### 设置kubectl认证配置 为了让当前用户能够管理新创建出来的集群,还需要复制管理员证书到默认路径下,并设置相应的环境变量。 ```bash mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` #### 安装 Pod 网络附加组件 (Flannel) 只有当Pod之间可以互相通信之后才能继续下一步骤;推荐采用Calico或Weave Net等方案实现跨主机间的Layer 2/Layer 3连通性。 ```bash kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml ``` 等待几分钟直到所有核心组件都处于正常状态(`Running`)为止。 #### 部署 KubeSphere 控制面板 现在万事俱备只欠东风——通过YAML定义文件一键式安装企业级PaaS平台! 1. 创建必要的命名空间和服务账户对象: ```yaml apiVersion: v1 kind: Namespace metadata: name: kubesphere-system --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: ks-admin-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: default namespace: kubesphere-system ``` 2. 应用上述资源描述符至目标环境中: ```bash kubectl apply -f - ``` 3. 获取最新的稳定发行版本号: ```bash export VERSION=$(curl -L -s https://get.kubesphere.io/simple | grep "latest version" | awk '{print $NF}') echo ${VERSION} ``` 4. 执行实际安装动作: ```bash ./kk create config --with-kubesphere=${VERSION} config-sample.yaml kubectl apply -f kk/kustomize/ ``` 5. 实时跟踪整个流程的状态变化情况: ```bash watch kubectl get pods -n kubesphere-system ``` 一旦看到所有的Pod均进入就绪阶段,则表示成功完成了全部准备工作。此时可以通过浏览器访问<http://Master_IP:30080>页面来进行图形化的向导式体验啦!默认超级管理员账号为admin/Kuboard123[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值