Kubernetes RBAC 之 ServiceAccount

千度20162024-07-12 22:03

Kubernetes RBAC 之 ServiceAccount

定义

RABC 英文全称是 Role-Based Access Control,它通过角色绑定账户,来使得账户拥有某些操控 K8S 集群的权限。ServiceAccount 是集群内部 Pod 访问集群所使用的服务账户,它包括了 Namespace、Token、Ca 证书,并且通过目录挂载的方式绑定 Pod。当 Pod 运行起来的时候,就会使用这些信息与 ApiServer 进行通信。

使用

  1. 创建 sa 账户 sa-test

    shell 复制代码 
    kubectl create sa sa-test

  2. 创建绑定 sa-test 账户的 Pod

    yaml 复制代码 
    apiVersion: v1
kind: Pod
metadata:
  name: rbac-sa
  namespace: default
  labels:
    app:  nginx
spec:
  serviceAccountName: sa-test
  containers:
    - name:  curl-nginx
      ports:
        - containerPort: 80
      image: curl-nginx:1.0
      imagePullPolicy: IfNotPresent

  3. 访问新建立 Pod,发现没有权限访问 ApiServer

    复制代码 
    root@k8s-master1:~# kubectl exec -it rbac-sa -- /bin/sh
/ # cd /var/run/secrets/kubernetes.io/serviceaccount/
/var/run/secrets/kubernetes.io/serviceaccount # ls -l
total 0
lrwxrwxrwx    1 root     root            13 Jul  6 02:59 ca.crt -> ..data/ca.crt
lrwxrwxrwx    1 root     root            16 Jul  6 02:59 namespace -> ..data/namespace
lrwxrwxrwx    1 root     root            12 Jul  6 02:59 token -> ..data/token

/var/run/secrets/kubernetes.io/serviceaccount # curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "namespaces \"kube-system\" is forbidden: User \"system:serviceaccount:default:sa-test\" cannot get resource \"namespaces\" in API group \"\" in the namespace \"kube-system\"",
  "reason": "Forbidden",
  "details": {
    "name": "kube-system",
    "kind": "namespaces"
  },
  "code": 403
}
/var/run/secrets/kubernetes.io/serviceaccount #

  4. 赋予 sa-test 权限

    复制代码 
    root@k8s-master1:~# kubectl create clusterrolebinding sa-test-admin --clusterrole=cluster-admin  --serviceaccount=default:sa-test
clusterrolebinding.rbac.authorization.k8s.io/sa-test-admin created

  5. 再次访问

    复制代码 
    root@k8s-master1:~# kubectl exec -it rbac-sa -- /bin/sh
/ # curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
/var/run/secrets/kubernetes.io/serviceaccount # curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Namespace",
  "apiVersion": "v1",
  "metadata": {
    "name": "kube-system",
    "uid": "6a42a1bb-6375-4658-9948-7f395e509197",
    "resourceVersion": "26",
    "creationTimestamp": "2024-05-13T00:41:10Z",
    "labels": {
      "kubernetes.io/metadata.name": "kube-system"
    },
    "managedFields": [
      {
        "manager": "kube-apiserver",
        "operation": "Update",
        "apiVersion": "v1",
        "time": "2024-05-13T00:41:10Z",
        "fieldsType": "FieldsV1",
        "fieldsV1": {
          "f:metadata": {
            "f:labels": {
              ".": {},
              "f:kubernetes.io/metadata.name": {}
            }
          }
        }
      }
    ]
  },
  "spec": {
    "finalizers": [
      "kubernetes"
    ]
  },
  "status": {
    "phase": "Active"
  }
}/var/run/secrets/kubernetes.io/serviceaccount #
相关推荐
资源开发与学习7 小时前
Kubernetes集群核心概念 Service
kubernetes
容器魔方8 小时前
Bloomberg 正式加入 Karmada 用户组!
云原生·容器·云计算
muyun280014 小时前
Docker 下部署 Elasticsearch 8 并集成 Kibana 和 IK 分词器
elasticsearch·docker·容器
Nazi614 小时前
k8s的dashboard
云原生·容器·kubernetes
傻傻虎虎19 小时前
【Docker】常用帮忙、镜像、容器、其他命令合集(2)
运维·docker·容器
是小崔啊19 小时前
叩丁狼K8s - 概念篇
云原生·容器·kubernetes
summer_west_fish1 天前
2023年系统分析师上半年论文试题分析
kubernetes
LeeZhao@1 天前
【AI推理部署】Docker篇04—Docker自动构建镜像
人工智能·docker·容器
程思扬1 天前
利用JSONCrack与cpolar提升数据可视化及跨团队协作效率
网络·人工智能·经验分享·docker·信息可视化·容器·架构
落日漫游1 天前
dockercompose和k8s区别
docker·kubernetes
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03UV安装并设置国内源04Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用0546个Nano-banana 精选提示词,持续更新中06A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程07conda中设置镜像地址(附所有可换的地址)08保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)09KGG转MP3工具|非KGM文件|解密音频10突破百度网盘的下载限速,两种方法教会你【超详细】