Kubernetes中API Server使用token访问

因自建集群，默认的apiserver-advertise-address是一个内网IP，自建的CA会为apiserver签发了一个证书，默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local，不包含设备的外网IP。所以直接使用cfssl根据CA根证书签

野猪佩挤

3177人浏览 · 2022-03-07 15:42:11

野猪佩挤 · 2022-03-07 15:42:11 发布

因自建集群，默认的apiserver-advertise-address是一个内网IP，自建的CA会为apiserver签发了一个证书，默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local，不包含设备的外网IP。所以直接使用cfssl根据CA根证书签发的证书配置kubectl是无法访问集群的，需要将这个公网IP添加到允许访问apiserver列表中。

把端口映射出来一直无法访问集群，报以下错误

Unable to connect to the server: x509: certificate is valid for 10.96.0.1, 192.168.3.10, not <master节点的公网IP>

API Server认证管理

Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server的REST API来实现的,所以集群安全的关键点就在于如何鉴权和授权

Kubernetes集群提供了3种级别的客户端身份认证方式

HTTP Token认证：通过一个Token来识别合法用户。
HTTPS 证书认证：基于CA根证书签名的双向数字证书认证方式
HTTP Base认证：通过用户名+密码的方式认证，这个只有1.19之前的版本适用，之后的版本不在支持

HTTP Token认证

HTTP Token的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串Token来表明客户身份的一种方式。

每个Token对应一个用户名,存储在APIServer能访问的一个文件中。当客户端发起API调用请求时,需要在HTTP Header里放入Token,这样一来, API Server就能识别合法用户和非法用户了。

当 API 服务器的命令行设置了–token-auth-file=SOMEFILE选项时，会从文件中读取持有者令牌。目前，令牌会长期有效，并且在不重启 API 服务器的情况下无法更改令牌列表。下面我们一个通过Demo来演示通过静态Token的用户认证,

比如我的集群信息如下:

root@ipo# kubectl cluster-info
Kubernetes control plane is running at https://172.31.9.115:6443
CoreDNS is running at https://172.31.9.115:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/prTo further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.

1 通过openssl生成一个令牌

# openssl rand -hex 10
4bf42S36c8ff0a0fb

令牌文件是一个 CSV 文件，包含至少 3 个列：令牌、用户名和用户的 UID。其余列被视为可选的组名。这里需要注意的是，令牌文件要放到/etc/kubernetes/pki目录下才可以，可能默认读取令牌的位置即是这个位置

echo "4bf42S36c8ff0a0fb,admins8,3" > /etc/kubernetes/pki/amins8.csv

cat /etc/kubernetes/pki/amins8.csv
4bf42S36c8ff0a0fb,admins8,3

通过Sed添加kube-apiserver服务启动参数，- --token-auth-file=/etc/kubernetes/pki/amins8.csv

#尝试替换
sed  '17a \ \ \ \ - --token-auth-file=/etc/kubernetes/pki/amins8.csv' /etc/kubernetes/manifests/kube-apiserver.yaml | grep -A 5  command
#正式sed替换
sed -i  '17a \ \ \ \ - --token-auth-file=/etc/kubernetes/pki/amins8.csv' /etc/kubernetes/manifests/kube-apiserver.yaml
#查看
cat -n /etc/kubernetes/manifests/kube-apiserver.yaml | grep -A 5  comma

效果如下：

root@ip-172# sed  '17a \ \ \ \ - --token-auth-file=/etc/kubernetes/pki/amins8.csv' /ver.yaml | grep -A 5  command
  - command:
    - kube-apiserver
    - --service-node-port-range=80-65535
    - --advertise-address=172.31.9.115
    - --token-auth-file=/etc/kubernetes/pki/amins8.csv
    - --allow-privileged=true
root@ip-172# sed -i  '17a \ \ \ \ - --token-auth-file=/etc/kubernetes/pki/amins8.csvserver.yaml
检查修改的启动参数
root@ip-172# cat -n /etc/kubernetes/manifests/kube-apiserver.yaml | grep -A 5  comma
    14    - command:
    15      - kube-apiserver
    16      - --service-node-port-range=80-65535
    17      - --advertise-address=172.31.9.115
    18      - --token-auth-file=/etc/kubernetes/pki/amins8.csv
    19      - --allow-privileged=true

无需重启 kubelet服务

客户端访问

[root@docker02 ~]#  kubectl -s="https://你的公网IP:6443" --insecure-skip-tls-verify=true  --token="4bf42S36c8ff0a0fb" get pods -n kube-system
NAME                                      READY   STATUS    RESTARTS        AGE
cilium-gpbfd                              1/1     Running   0               17h
cilium-operator-5f6c65555d-h297t          1/1     Running   4 (52m ago)     17h
cilium-w8flp                              1/1     Running   1 (3h55m ago)   17h
coredns-6d8c4cb4d-n8qgw                   1/1     Running   0               17h
coredns-6d8c4cb4d-tgbjb                   1/1     Running   0               17h
etcd-ip-172-31-9-115                      1/1     Running   1 (3h55m ago)   17h
kube-apiserver-ip-172-31-9-115            1/1     Running   0               51m
kube-controller-manager-ip-172-31-9-115   1/1     Running   3 (52m ago)     17h
kube-proxy-2cc6p                          1/1     Running   0               17h
kube-proxy-mmk97                          1/1     Running   1 (3h55m ago)   17h

命令太长可以通过别名访问

alias kubectl='kubectl -s="https://你的公网IP:6443" --insecure-skip-tls-verify=true  --token="4bf42S36c8ff0a0fb"'

在这里插入图片描述

定义别名永久生效：

/etc/profile 全局生效

~/.bashrc 当前用户生效

vim ~/.bashrc

alias kubectl='kubectl -s="https://你的公网IP:6443" --insecure-skip-tls-verify=true  --token="4bf42S36c8ff0a0fb"'
保存
 source .bashrc

PS：

如果访问得到以下提示

在集群外的客户机访问集群信息，这里提示刚才创建得用户没有访问的权限，说明已经认证成功了，只是没有权限

Error from server (Forbidden): pods is forbidden: User "admins" cannot list resource "pods" in API group "" in the namespace "kube-system"

Token和集群的Token文件不对应，会提示我们没有获得授权，即认证失败

error: You must be logged in to the server (Unauthorized)

== 解决需要拷贝.kube/config文件拷贝到本地替换你的公网IP ==
如下：
在这里插入图片描述

Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云（Unified IaaS）

随着数字化时代的到来，IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来，智能制造，5G和人工智能等技术将成为推动生产力发展的重要引擎，人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体，是实现数字化的基石。在这场数字化浪潮中，企业必须积极拥抱云计算技术，采用符合技术发展趋势、面向未来的IT基础构架，才能在未来的竞争中赢得先机。一、云计算历经十余年

Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松今天的内容会从以下几个方面展开：负载均衡产品简介。主要介绍负载均衡作为一个云上产品，它的功能模型是怎样的，日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇，对负载均衡服务中常见的一些功能选项进行介绍，并举例介绍一些典型的应用场景最后，我们做一下总结，讨论一下负载均衡产品相比传统方式的优点一、产品简介 1. 以NGINX为例提到负载均衡，我们以

Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点，这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的，关键在于事先在主机上对系统、内核和物理设备的一些配置。单纯从 qemu 的命令行来看，其实和普通虚拟机启动就差了最后那个-device的选项。这