auth-with-kubeconfig-or-token
weight: 88
title: 使用kubeconfig 或token 进行用户身份认证
date: “2022-05-21T00:00:00+08:00”
type: book
在开启了
下文分两块以示例的方式来讲解两种登陆认证方式:
- 为
brand 命名空间下的brand 用户创建kubeconfig 文件 - 为集群的管理员(拥有所有命名空间的
amdin 权限)创建token
使用kubeconfig
如何生成kubeconfig
文件请参考创建用户认证授权的
注意我们生成的
kubeconfig 文件中没有token 字段,需要手动添加该字段。
比如我们为brand.kubeconfig
的token
的配置(如何生成
对于访问brand.kubeconfig
必须追到 token
字段,否则认证不会通过。而使用token
字段。
生成token
需要创建一个
生成kubernetes 集群最高权限admin 用户的token
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: admin
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
name: admin
namespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin
namespace: kube-system
labels:
kubernetes.io/cluster-service: "true"
addonmanager.kubernetes.io/mode: Reconcile
然后执行下面的命令创建
kubectl create -f admin-role.yaml
创建完成后获取
# 获取admin-token的secret名字
$ kubectl -n kube-system get secret|grep admin-token
admin-token-nwphb kubernetes.io/service-account-token 3 6m
# 获取token的值
$ kubectl -n kube-system describe secret admin-token-nwphb
Name: admin-token-nwphb
Namespace: kube-system
Labels: <none>
Annotations: kubernetes.io/service-account.name=admin
kubernetes.io/service-account.uid=f37bd044-bfb3-11e7-87c0-f4e9d49f8ed0
Type: kubernetes.io/service-account-token
Data
====
namespace: 11 bytes
token: 非常长的字符串
ca.crt: 1310 bytes
也可以使用
kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d
注意:base64
解码,在线解码工具 base64decode,base64
命令也可以直接使用,输入 base64
是进行编码,base64 -d
表示解码,base64 -D
。
我们使用了token
值会认证失败,详见
更简单的方式是直接使用kubectl describe
命令获取
kubectl describe secret admin-token-nwphb
为普通用户生成token
为指定
每次创建了新的default-token-xxxx
。default
就相当于该
kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
$ROLEBINDING_NAME
必须是该namespace 下的唯一的admin
表示用户该namespace 的管理员权限,关于使用clusterrole
进行更细粒度的权限控制请参考RBAC——基于角色的访问控制。- 我们给默认的
serviceaccount default
分配admin 权限,这样就不要再创建新的serviceaccount ,当然你也可以自己创建新的serviceaccount ,然后给它admin 权限