auth-with-kubeconfig-or-token


weight: 88 title:使用kubeconfigtoken进行用户身份认证 date: “2022-05-21T00:00:00+08:00” type: book

在开启了TLS的集群中,每当与集群交互的时候少不了的是身份认证,使用kubeconfig(即证书) 和token两种认证方式是最简单也最通用的认证方式,在dashboard的登录功能就可以使用这两种登录功能。

下文分两块以示例的方式来讲解两种登陆认证方式:

  • brand命名空间下的brand用户创建kubeconfig文件
  • 为集群的管理员(拥有所有命名空间的amdin权限)创建token

使用kubeconfig

如何生成kubeconfig文件请参考创建用户认证授权的kubeconfig文件

注意我们生成的kubeconfig文件中没有token字段,需要手动添加该字段。

比如我们为brand namespace下的brand用户生成了名为 brand.kubeconfigkubeconfig文件,还要再该文件中追加一行 token 的配置(如何生成token将在下文介绍,如下所示:

kubeconfig文件
kubeconfig文件

对于访问dashboard时候的使用kubeconfig文件如brand.kubeconfig 必须追到 token 字段,否则认证不会通过。而使用kubectl命令时的用的kubeconfig文件则不需要包含 token 字段。

生成token

需要创建一个admin用户并授予admin角色绑定,使用下面的yaml文件创建admin用户并赋予他管理员权限,然后可以通过token访问kubernetes,该文件见admin-role.yaml

生成kubernetes集群最高权限admin用户的token

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: admin
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
subjects:
  - kind: ServiceAccount
    name: admin
    namespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin
  namespace: kube-system
  labels:
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile

然后执行下面的命令创建serviceaccount和角色绑定,

kubectl create -f admin-role.yaml

创建完成后获取secrettoken的值。

# 获取admin-token的secret名字
$ kubectl -n kube-system get secret|grep admin-token
admin-token-nwphb                          kubernetes.io/service-account-token   3         6m
# 获取token的值
$ kubectl -n kube-system describe secret admin-token-nwphb
Name:		admin-token-nwphb
Namespace:	kube-system
Labels:		<none>
Annotations:	kubernetes.io/service-account.name=admin
		kubernetes.io/service-account.uid=f37bd044-bfb3-11e7-87c0-f4e9d49f8ed0

Type:	kubernetes.io/service-account-token

Data
====
namespace:	11 bytes
token:		非常长的字符串
ca.crt:		1310 bytes

也可以使用jsonpath的方式直接获取token的值,如:

kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d

注意yaml输出里的那个token值是进行base64编码后的结果,一定要将kubectl的输出中的token值进行 base64 解码,在线解码工具 base64decodeLinuxMac有自带的 base64 命令也可以直接使用,输入 base64 是进行编码,Linuxbase64 -d 表示解码,Mac中使用 base64 -D

我们使用了base64对其重新解码,因为secret都是经过base64编码的,如果直接使用kubectl中查看到的 token 值会认证失败,详见 secret配置。关于JSONPath的使用请参考 JSONPath手册

更简单的方式是直接使用kubectl describe命令获取token的内容(经过base64解码之后

kubectl describe secret admin-token-nwphb

为普通用户生成token

为指定namespace分配该namespace的最高权限,这通常是在为某个用户(组织或者个人)划分了namespace之后,需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。

每次创建了新的namespace下都会生成一个默认的token,名为default-token-xxxxdefault就相当于该namespace下的一个用户,可以使用下面的命令给该用户分配该namespace的管理员权限。

kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
  • $ROLEBINDING_NAME必须是该namespace下的唯一的
  • admin表示用户该namespace的管理员权限,关于使用clusterrole进行更细粒度的权限控制请参考RBAC——基于角色的访问控制
  • 我们给默认的serviceaccountdefault分配admin权限,这样就不要再创建新的serviceaccount,当然你也可以自己创建新的serviceaccount,然后给它admin权限

参考

下一页