Kubernetes控制平面组件:APIServer 基于 静态Token 的认证机制

最新推荐文章于 2025-04-23 14:44:59 发布
最新推荐文章于 2025-04-23 14:44:59 发布
阅读量845 收藏 30
点赞数 27
CC 4.0 BY-SA版权
分类专栏: 云原生学习专栏 文章标签: kubernetes 认证 authentication 静态Token kubeconfig apiserver Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1369760658/article/details/145775925

云原生学习路线导航页(持续更新中)

本文主要对kubernetes API Server 认证机制中的 静态Token认证进行介绍,包括 静态Token的设计理念、认证流程,并给出 Kubernetes 中的认证实操演练

在这里插入图片描述

1.静态Token的认证方式简介

  • 静态 Token 认证(Static Token File)
    • 是 Kubernetes 提供的一种基于 Bearer Token 的简单认证方式。
    • 通过预定义的 Token 文件实现用户身份认证。
  • 特性
    • 需预先在 --token-auth-file 中配置 Token
    • Token 以明文形式存储
    • 不支持动态管理(需重启 API Server)
    • 适用于测试环境,生产环境不推荐

2.实操演练:静态Token的认证

2.1.创建 Token 文件

  • 文件格式(CSV):
    token,username,uid,"group1,group2,..."
# 比如
31ada4fd.ade128006b1723da,devuser,1000,"developers,qa"
  • 创建文件 /etc/kubernetes/pki/tokens.csv
    sudo mkdir -p /etc/kubernetes/pki
echo "31ada4fd.ade128006b1723da,devuser,1000,\"developers,qa\"" | sudo tee /etc/kubernetes/pki/tokens.csv

2.2.配置 API Server

  • 找到 kube-apiserver 静态pod配置
    • 如果是kubeadm启动的kubernetes集群,那么api-server会以静态pod的方式启动
    • 静态pod默认路径 /etc/kubernetes/manifests,可以在这里找到 kube-apiserver 的pod配置
  • 修改 kube-apiserver 静态pod配置
      # 文件路径:/etc/kubernetes/manifests/kube-apiserver.yaml
  spec:
    containers:
    - command:
      - kube-apiserver
      - --token-auth-file=/etc/kubernetes/pki/tokens.csv  # 添加此参数
  # 其他参数不用改
    • 因为我们把token文件放在了 /etc/kubernetes/pki 目录下,该目录默认已经被挂载到 api-server的容器中了,所以我们可以直接在参数中写这个目录,容器可以拿到该文件
      在这里插入图片描述

2.3.重启 API Server

  • 修改了/etc/kubernetes/manifests/kube-apiserver.yaml,kubelet会自动重启api-server
    在这里插入图片描述

2.4.验证使用token访问kubernetes集群:直接curl

  • 获取不到pod,因为该token只是通过了认证,但是没有授权,属于正常现象
    curl https://<API_SERVER_IP>:6443/api/v1/pods \
  --header "Authorization: Bearer 31ada4fd.ade128006b1723da" \
  --insecure

# 示例
[root@VM-226-235-tencentos ~]# curl https://xxx.xxx.xxx.xxx:6443/api/v1/pods \
> --header "Authorization: Bearer 31ada4fd.ade128006b1723da" \
> --insecure
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"devuser\" cannot list resource \"pods\" in API group \"\" at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}
  • 或者也可以通过 kubectl get pods -v 9 看看正常的get pod curl请求是什么样,加一个header参数即可
    • 从响应最后的json看,apiserver已经知道我是devuser了,但是没有权限访问pod
    # 获取真实的curl请求
[root@VM-226-235-tencentos ~]# kubectl get pods -v 9
.......
I0218 22:36:48.698775   29701 round_trippers.go:424] curl -k -v -XGET  -H "Accept: application/json;as=Table;v=v1;g=meta.k8s.io,application/json;as=Table;v=v1beta1;g=meta.k8s.io,application/json" -H "User-Agent: kubectl/v1.19.16 (linux/amd64) kubernetes/e37e4ab" 'https://xxx.xxx.xxx.xxx:6443/api/v1/namespaces/default/pods?limit=500'

# 添加一个header后,发送请求
[root@VM-226-235-tencentos ~]# curl -k -v -XGET -H "Authorization: Bearer 31ada4fd.ade128006b1723da" -H "Accept: application/json;as=Table;v=v1;g=meta.k8s.io,application/json;as=Table;v=v1beta1;g=meta.k8s.io,application/json" -H "User-Agent: kubectl/v1.19.16 (linux/amd64) kubernetes/e37e4ab" 'https://xxx.xxx.xxx.xxx:6443/api/v1/namespaces/default/pods?limit=500'
* About to connect() to xxx.xxx.xxx.xxx port 6443 (#0)
*   Trying xxx.xxx.xxx.xxx...
* Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) port 6443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* NSS: client certificate not found (nickname not specified)
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
*       subject: CN=kube-apiserver
*       start date: Apr 17 08:00:10 2024 GMT
*       expire date: Apr 21 07:13:02 2025 GMT
*       common name: kube-apiserver
*       issuer: CN=kubernetes
> GET /api/v1/namespaces/default/pods?limit=500 HTTP/1.1
> Host: xxx.xxx.xxx.xxx:6443
> Accept: application/json;as=Table;v=v1;g=meta.k8s.io,application/json;as=Table;v=v1beta1;g=meta.k8s.io,application/json
> User-Agent: kubectl/v1.19.16 (linux/amd64) kubernetes/e37e4ab
> Authorization: Bearer 31ada4fd.ade128006b1723da
> 
< HTTP/1.1 403 Forbidden
< Cache-Control: no-cache, private
< Content-Type: application/json
< X-Content-Type-Options: nosniff
< Date: Tue, 18 Feb 2025 14:38:17 GMT
< Content-Length: 252
< 
{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","message":"pods is forbidden: User \"devuser\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"","reason":"Forbidden","details":{"kind":"pods"},"code":403}
* Connection #0 to host xxx.xxx.xxx.xxx left intact

2.5.验证使用token访问kubernetes集群:配置kubectl

# 基于静态token生成一个user
kubectl config set-credentials devuser --token=31ada4fd.ade128006b1723da
# 为user创建一个context
kubectl config set-context dev-context --cluster=<your-cluster> --user=devuser
# 切换上下文
kubectl config use-context dev-context
# 验证。若显示 "Forbidden",说明user没有权限,需配置 RBAC 授权
kubectl get pods

[root@VM-226-235-tencentos ~]# kubectl get pods
Error from server (Forbidden): pods is forbidden: User "devuser" cannot list resource "pods" in API group "" in the namespace "default"

  • 上面的操作将会修改到kubeconfig中,可以查看 ~/.kube/config 的内容

    ......
contexts:
- context:
    cluster: kubernetes
    user: devuser
  name: dev-context
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
- context:
    cluster: kubernetes
    user: myuser
  name: myuser@kubernetes
current-context: dev-context
kind: Config
preferences: {}
users:
- name: devuser
  user:
    token: 31ada4fd.ade128006b1723da
- name: ......

  • RBAC授权

    • 注意需要先切换回原来的上下文,我们新建的dev-context没有Role权限的
    apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: default
  name: read-pods
subjects:
- kind: User
  name: devuser
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

3.注意事项

  • 生产环境建议使用更安全的认证方式(如 OIDC、X509 证书)
  • Token 文件变更后需要重启 API Server
  • 文件权限应设置为 600
  • 结合 RBAC 进行细粒度权限控制
  • 定期轮换 Token(需手动操作)

4.用途

  • 比如有几个人要共享一个集群,可以每个人分配一个静态token,对授权做一些限制,就不怕别人访问或删除你的资源了
kubernetes token问题
专注基础架构领域
07-16 442
重新生成sha256的方法: openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
kube获得token_获取度量数据:创建服务账户获取访问token
weixin_31586247的博客
01-17 288
kubectl create clusterrolebinding kubelet-api-test --clusterrole=system:kubelet-api-admin --serviceaccount=default:kubelet-api-testclusterrolebinding.rbac.authorization.k8s.io "kubelet-api-test" creat...
k8s API Server 中的认证、鉴权、准入、限流总结分享
奔跑的蜗牛的博客
02-11 3582
API Server 是 k8s 中非常重要的一个控制组件之一,承担着 k8s 的门神的作用,所有的外部请求以及节点间的交互都需要经过它。它的核心作用就是对请求进行认证、鉴权、准入、限流。同时它还承担着缓冲的作用,将一些资源对象缓存,大大减少了 etcd 的压力,保证了集群的稳定性。 因此 API Server 的稳定运行是非常重要的。 本文章主要对API Server 中的核心流程了总结,并且进行了一些实践,记录与之分享。
[kubernetes]Kube-APIServer
weixin_38805083的博客
12-25 1287
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
Kubernetes控制平面组件APIServer 基于 引导Token认证机制
a1369760658的博客
02-21 1271
本文主要对kubernetes API Server 认证机制中的 引导Token 认证方式进行介绍,包括 引导Token 的设计理念、实现原理、认证流程,以及在 Kubernetes 中的具体应用
Kubernetes APIServer 几种基本认证方式
小楼一夜听春雨,深巷明朝卖杏花
07-10 2403
在上文中,用户A在发起API请求时,管理员如何道该请求是用户A发起的呢?所以,客户端在发起API请求时,必须要携带一个身份信息来表明"我是谁",Apiserver在收到请求后,需要对这个身份信息进行认证(“不是你说你是谁,你就是谁,而是我核实你是谁,你才是谁”)apiserver可以通过启动参数--basic-auth-file=/path/to/file来开启密码认证,该文件的每一行如下:第一个字段为密码,第二个为用户名,第三个为用户id,后面为组名(可选,如果有多个组,则需要用双引号引起来)
Kubernetes 安全大揭秘:从攻击面剖析到纵深防御体系构建(下)
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
02-27 1901
Kubernetes安全已从单点防御演变为系统性工程,需在多维度攻防对抗中平衡敏捷性与安全性。7.1 技术纵深防御体系总结1. 核心防御原则零信任架构服务间身份认证:mTLS、SPIFFE标准实现细粒度身份验证。动态权限控制:基于服务身份的RBAC(如Istio AuthorizationPolicy)取代IP白名单。最小化攻击面供应链净化:镜像签名、Helm Chart验证与SBOM(Software Bill of Materials)阻断恶意代码注入。运行时沙箱化。
Kubernetes集群管理实战:部署和管理容器化应用
![Kubernetes集群管理实战:部署和管理容器化应用](https://img-blog.csdnimg.cn/img_convert/e13fc6c39bd3c3711fc21927e9b5a184.jpeg) # 1. Kubernetes基础** **1.1 Kubernetes简介** ...* **控制平面
Kubernetes入门与实践:集群管理与服务部署策略
![Kubernetes入门与实践:集群管理与服务部署策略]...本文全面介绍了Kubernetes的核心概念、架构设计及其集群搭建过程,包括组件功能的配置与集
Kubernetes集群管理指南:部署、扩展和维护,打造稳定高效的集群
![Kubernetes集群管理指南:部署、扩展和维护,打造稳定高效的集群]...Kubernetes集群由一系列组件组成,包括: - **主节点:**负责管理集群并调度容器。 -
kubernetes(K8S)学习(七):K8S之系统核心组件
꯭ 瞎꯭扯꯭蛋꯭的博客
03-29 1556
管理Pod及Pod中的容器,每个kubelet进程会在API Server上注册节点自身信息,定期向Master节点汇报节点资源的使用情况,并通过cAdvisor监控容器和节点资源。然后,目标节点上的kubelet通过API Server监听到Kubernetes Scheduler产生的Pod绑定事件,获取对应的Pod清单,下载Image镜像,并启动容器。单纯地调度pod,按照特定的调度算法和策略,将待调度Pod绑定到集群中某个适合的Node,并写入绑定信息,由对应节点的kubelet服务创建pod。
kubernetes API 访问控制之:认证
看,未来的博客
06-02 2385
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
K8S安全认证
最新发布
2301_78530830的博客
04-23 1017
指定用于客户端认证的证书文件路径,--client-key=/etc/kubernetes/pki/devman.key。:用于配置 Kubernetes 的上下文信息,上下文定义了集群、用户和命名空间的组合,devman@kubernetes。2.Service Account:K8S管理的账号,用于为Pod中的服务进程在访问K8S提供身份标识。3.ABAC:基于属性的访问控制,表示使用用户配置的授权配置的授权规则对用户请求匹配和控制。3.HTTPS证书认证:基于CA根证书签名的双向数字认证认证方式。
破解 Kubernetes 身份验证 (AuthN)模型
hao_wujing的专栏
01-06 1297
我们的目标之一是能够同时支持多个 AuthN 策略,即 一些用户可以通过静态令牌访问,一些用户可以通过证书访问,还有一些用户可以通过证书访问 可能通过外部身份提供商(IdP,例如 Keystone)。以类似的方式,我们可以支持其他类型的 AuthN 策略,例如 OpenID Connect (OIDC),请求标头 ()。当请求到达时,将调用它,它尝试对给定的 请求作为用户,然后将用户信息存储到请求的上下文中。输出提醒我们,服务器正在使用无法识别的 证书(例如自签名),因此阻止了我们潜在的不安全。
Kubernetes API Server 认证机制
小楼一夜听春雨,深巷明朝卖杏花
07-11 1857
开启 TLS时,所有的请求都需要首先认证Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的 username 会传入授权模块进一步授权验证;而对于认证失败的请求则返回 HTTP 401。当apiserver启动的时候,其实有两个和安全相关的配置,一个叫insecure-port,一个叫secure-port,早期大家很习惯的将insecure-port打开,经过insecure-port端口所有的请求其实是没有任何的安全校验的,也就是认证
彻底搞懂 Kubernetes 中的认证
cbmljs的博客
10-13 2332
Kubernetes 中的认证
华为 IP源防攻击和MAC认证
热门推荐
艺博东的博客
12-07 1万+
文章目录 一、拓扑 二、IPSG 三、MAC认证
kube获得token_配置kubectl客户端通过token方式访问kube-apiserver
weixin_29055137的博客
01-17 1174
帮助文档使用的变量本文档用到的变量定义如下:$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP$ export KUBE_APISERVER="https://${MASTER_IP}:6443"$创建 kubectl config 文件$ # 设置集群参数$ kubectl config set-cluster kubernete...
配置kubectl客户端通过token方式访问kube-apiserver
weixin_33872660的博客
11-13 659
帮助文档 使用的变量 本文档用到的变量定义如下: $ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP $ export KUBE_APISERVER="https://${MASTER_IP}:6443" $ 创建 kubectl config 文件 $ # 设置集群参数 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值