Kubernetes api'ye bir kapsül kapsayıcısından nasıl erişirim?

Ben kıvrılabiliyordum

https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1beta3/namespaces/default/

benim temel URL'm olarak, ancak kubernetes 0.18.0'da bana "yetkisiz" veriyor. Garip olan şey, API makinesinin ( http://172.17.8.101:8080/api/v1beta3/namespaces/default/) harici IP adresini kullanırsam, gayet iyi çalışıyor olmasıdır.

Resmi belgelerde şunu buldum:

https://kubernetes.io/docs/tasks/access-application-cluster/access-cluster/#accessing-the-api-from-a-pod

Görünüşe göre Kubernetes'in önceki bir sürümünde ihtiyaç duymadığım bir güvenlik belirtecim eksikti. Bundan, bir proxy çalıştırmaktan veya konteynırıma golang yüklemekten daha basit bir çözüm olduğunu düşündüğüm şeyi tasarladım. Geçerli kapsayıcı için API'den bilgi alan bu örneğe bakın:

KUBE_TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
curl -sSk -H "Authorization: Bearer $KUBE_TOKEN" \
      https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME

Ayrıca bash betiklerinde kullanmak üzere json'u ayrıştırmak için basit bir ikili dosya, jq ( http://stedolan.github.io/jq/download/ ) kullanıyorum.

Her bölmeye otomatik olarak uygulanan ve bir sunucuya erişmesine izin veren bir hizmet hesabı vardır. Hizmet hesabı, hem bir taşıyıcı belirteci biçiminde istemci kimlik bilgilerini hem de bir apiserver tarafından sunulan sertifikayı imzalamak için kullanılan sertifika yetkilisi sertifikasını sağlar. Bu iki parça bilgiyle, curl -k(aka curl --insecure) kullanmadan apisever ile güvenli, kimliği doğrulanmış bir bağlantı oluşturabilirsiniz :

curl -v --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://kubernetes.default.svc/

Python kubernetes istemcisini kullanma ..

from kubernetes import client, config

config.load_incluster_config()
v1_core = client.CoreV1Api()

wget sürümü:

KUBE_TOKEN=$(</var/run/secrets/kubernetes.io/serviceaccount/token)    
wget -vO- --ca-certificate /var/run/secrets/kubernetes.io/serviceaccount/ca.crt  --header "Authorization: Bearer $KUBE_TOKEN" https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME

Yukarıda belirtilen ayrıntılara en önemli ek, API sunucusuna erişmeye çalıştığınız bölmenin bunu yapmak için RBAC yeteneklerine sahip olması gerektiğidir.

K8s sistemindeki her varlık bir hizmet hesabı ile tanımlanır (kullanıcılar için kullanılan kullanıcı hesabı gibi). RBAC yeteneklerine bağlı olarak, hizmet hesabı belirteci (/var/run/secrets/kubernetes.io/serviceaccount/token) doldurulur. Kube-api bağları (örneğin pykube), kube-api-sunucularına bağlantı oluştururken bu belirteci bir girdi olarak alabilir. Bölme doğru RBAC yeteneklerine sahipse, bölme kube-api sunucusuyla bağlantı kurabilir.

Go Code kullanarak bir bölmenin içinden API'ye erişmeye çalışırken bu sorunla karşılaştım. Aşağıda, birisi bu soruyla karşılaşıp Go'yu kullanmak isterse, bu çalışmayı sağlamak için uyguladığım şey.

Örnek, client-goyerel kubernetes nesneleriyle çalışıyorsanız kitaplığı kullanmanız gereken bir bölme kaynağı kullanır . Kod, CustomResourceDefintions ile çalışanlar için daha yararlıdır.

serviceHost := os.GetEnv("KUBERNETES_SERVICE_HOST")
servicePort := os.GetEnv("KUBERNETES_SERVICE_PORT")
apiVersion := "v1" // For example
namespace := default // For example
resource := "pod" // For example
httpMethod := http.MethodGet // For Example

url := fmt.Sprintf("https://%s:%s/apis/%s/namespaces/%s/%s", serviceHost, servicePort, apiVersion, namespace, resource)

u, err := url.Parse(url)
if err != nil {
  panic(err)
}
req, err := http.NewRequest(httpMethod, u.String(), bytes.NewBuffer(payload))
if err != nil {
    return err
}

caToken, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/token")
if err != nil {
    panic(err) // cannot find token file
}

req.Header.Set("Content-Type", "application/json")
req.Header.Set("Authorization", fmt.Sprintf("Bearer %s", string(caToken)))

caCertPool := x509.NewCertPool()
caCert, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/ca.crt")
if err != nil {
    return panic(err) // Can't find cert file
}
caCertPool.AppendCertsFromPEM(caCert)

client := &http.Client{
  Transport: &http.Transport{
    TLSClientConfig: &tls.Config{
        RootCAs: caCertPool,
    },
  },
}

resp, err := client.Do(req)
if err != nil {
    log.Printf("sending helm deploy payload failed: %s", err.Error())
    return err
}
defer resp.Body.Close()

// Check resp.StatusCode
// Check resp.Status

Kapsülün içinden, kubernetes api sunucusuna doğrudan " https: //kubernetes.default " adresinden erişilebilir . Varsayılan olarak, api sunucusuna erişmek için "varsayılan hizmet hesabını" kullanır.

Bu nedenle, api sunucusuyla kimlik doğrulaması yapmak için bir "ca cert" ve "varsayılan hizmet hesabı belirteci" iletmemiz gerekir.

sertifika dosyası, bölmenin içinde şu konumda saklanır: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

ve /var/run/secrets/kubernetes.io/serviceaccount/token adresindeki varsayılan hizmet hesabı jetonu

Sen kullanabilirsiniz nodejs kubbernetes godaddy müşteri .

let getRequestInfo = () => {
    return {
        url: "https://kubernetes.default",
        ca:   fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/ca.crt').toString(),
        auth: {
            bearer: fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/token').toString(),
        },
        timeout: 1500
    };
}

let initK8objs = () =>{
    k8obj = getRequestInfo();
    k8score = new Api.Core(k8obj),
    k8s = new Api.Api(k8obj);
}

GKE'de python komut dosyalarının aniden istisnalar attığı benzer bir kimlik doğrulama sorunum vardı. Benim için işe yarayan çözüm, bölmelere rol aracılığıyla izin vermekti

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: fabric8-rbac
subjects:
  - kind: ServiceAccount
  # Reference to upper's `metadata.name`
  name: default
  # Reference to upper's `metadata.namespace`
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

daha fazla bilgi için buraya bağlantı açıklamasını girin

Google Container Engine kullanan herkes için (Kubernetes tarafından desteklenmektedir):

Java için bu kubernetes istemcisinihttps://kubernetes kullanarak küme içinden yapılan basit bir çağrı çalışır.

RBAC etkinken, varsayılan hizmet hesabının herhangi bir izni yoktur.

İhtiyaçlarınız için ayrı bir hizmet hesabı oluşturun ve onu bölmenizi oluşturmak için kullanın.

spec:
  serviceAccountName: secret-access-sa
  containers:
    ...

Burada iyi açıklanmıştır https://developer.ibm.com/recipes/tutorials/service-accounts-and-auditing-in-kubernetes/

curl -v -cacert <path to>/ca.crt --cert <path to>/kubernetes-node.crt --key <path to>/kubernetes-node.key https://<ip:port>

K8s sürümüm 1.2.0 ve diğer sürümlerde de çalışması gerekiyor ^ ^

This is from the Kubernetes İş Başında book.

Kimlik doğrulamasına dikkat etmeniz gerekiyor . API sunucusunun kendisi ona erişme yetkinizin olmadığını söylüyor çünkü sizin kim olduğunuzu bilmiyor .

Kimlik doğrulaması için bir kimlik doğrulama jetonuna ihtiyacınız var . Neyse ki, belirteç daha önce bahsedilen varsayılan belirteç Sırrı aracılığıyla sağlanır ve belirteç dosyasında gizli birimde saklanır.

API sunucusuna erişmek için jetonu kullanacaksınız . İlk olarak, belirteci bir ortam değişkenine yükleyin:

root@myhome:/# TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

Belirteç artık TOKEN ortam değişkeninde saklanır . API sunucusuna istek gönderirken kullanabilirsiniz:

root@curl:/# curl -H "Authorization: Bearer $TOKEN"  https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME
   {  "paths": 
      [    
        "/api",    
        "/api/v1",   
        "/apis",    
        "/apis/apps",    
        "/apis/apps/v1beta1",    
        "/apis/authorization.k8s.io",        
         ...    
        "/ui/",    
        "/version"  
      ]
  }