参考:https://jimmysong.io/kubernetes-handbook/guide/auth-with-kubeconfig-or-token.html

在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式,在 dashboard 的登录功能就可以使用这两种登录功能。

下文分两块以示例的方式来讲解两种登陆认证方式:

  • 为 brand 命名空间下的 brand 用户创建 kubeconfig 文件
  • 为集群的管理员(拥有所有命名空间的 amdin 权限)创建 token

使用 kubeconfig 方式

如何生成kubeconfig文件请参考创建用户认证授权的kubeconfig文件

注意我们生成的 kubeconfig 文件中没有 token 字段,需要手动添加该字段。

比如我们为 brand namespace 下的 brand 用户生成了名为 brand.kubeconfig 的 kubeconfig 文件,还要再该文件中追加一行 token 的配置(如何生成 token 将在下文介绍),如下所示:

kubeconfig文件

对于访问 dashboard 时候的使用 kubeconfig 文件如brand.kubeconfig 必须追到 token 字段,否则认证不会通过。而使用 kubectl 命令时的用的 kubeconfig 文件则不需要包含 token 字段。

使用 token 方式

创建账户并授权

需要创建一个admin用户并授予admin角色绑定,使用下面的yaml文件创建admin用户并赋予他管理员权限,该文件见admin-role.yaml

情况1:admin账户

生成kubernetes集群最高权限用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: admin
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
name: admin
namespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin
namespace: kube-system
labels:
kubernetes.io/cluster-service: "true"
addonmanager.kubernetes.io/mode: Reconcile

然后执行下面的命令创建 serviceaccount 和角色绑定,

1
kubectl create -f admin-role.yaml

情况2:为默认的default用户赋予最高权限

为指定namespace分配该namespace的最高权限,这通常是在为某个用户(组织或者个人)划分了namespace之后,需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。

每次创建了新的namespace下都会生成一个默认的token,名为default-token-xxxxdefault就相当于该namespace下的一个用户,可以使用下面的命令给该用户分配该namespace的管理员权限。

1
kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=cluster-admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
  • $ROLEBINDING_NAME必须是该namespace下的唯一的
  • admin表示用户该namespace的管理员权限,关于使用clusterrole进行更细粒度的权限控制请参考RBAC——基于角色的访问控制
  • 我们给默认的serviceaccount default分配admin权限,这样就不要再创建新的serviceaccount,当然你也可以自己创建新的serviceaccount,然后给它admin权限

情况3:其他账户

创建一个test账户

1
kubectl create -n {namespace} sa test

赋权 略

获取 Token

1.22版本之前

default账户

对于default账户,创建ns后会生成默认token

1
kubectl -n {namespace} describe secret default-token | grep '^token'

自建账户

创建完成后便可以获取secret中token的值,例如上文提到的admin账户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# 获取admin-token的secret名字
$ kubectl -n kube-system get secret|grep admin-token
admin-token-nwphb kubernetes.io/service-account-token 3 6m
# 获取token的值
$ kubectl -n kube-system describe secret admin-token-nwphb
Name: admin-token-nwphb
Namespace: kube-system
Labels: <none>
Annotations: kubernetes.io/service-account.name=admin
kubernetes.io/service-account.uid=f37bd044-bfb3-11e7-87c0-f4e9d49f8ed0

Type: kubernetes.io/service-account-token

Data
====
namespace: 11 bytes
token: 非常长的字符串
ca.crt: 1310 bytes

也可以使用 jsonpath 的方式直接获取 token 的值,如:

1
kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d

注意:yaml 输出里的那个 token 值是进行 base64 编码后的结果,一定要将 kubectl 的输出中的 token 值进行 base64 解码,在线解码工具 base64decode,Linux 和 Mac 有自带的 base64 命令也可以直接使用,输入 base64 是进行编码,Linux 中base64 -d 表示解码,Mac 中使用 base64 -D

我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 token 值会认证失败,详见 secret 配置。关于 JSONPath 的使用请参考 JSONPath 手册

更简单的方式是直接使用kubectl describe命令获取token的内容(经过base64解码之后):

1
kubectl describe secret admin-token-nwphb

1.22版本之后

1.22起,创建ns后不再生成默认token,如有需要需手动创建令牌

为 ServiceAccount 创建时间受限的 API 令牌

以"default" 服务账号举例,可以使用 kubectl 为该 ServiceAccount 获得一个时间上受限的 API 令牌:

1
kubectl -n {namespace} create token default

这一命令的输出是一个令牌,你可以使用该令牌来将身份认证为对应的 ServiceAccount。 你可以使用 kubectl create token 命令的 --duration 参数来请求特定的令牌有效期 (实际签发的令牌的有效期可能会稍短一些,也可能会稍长一些)。

--duration详细解释:

如果不指定 --duration, 在1.24版本中,token 的默认有效期是1小时,可以使用-o yaml查看expirationSeconds来确认

参数的格式是: --duration=EXPIRATION

EXPIRATION 可以设置的值包括:

  • 数字加时间单位,如 24h、3s

说明:

Kubernetes 在 v1.22 版本之前自动创建用来访问 Kubernetes API 的长期凭据。 这一较老的机制是基于创建令牌 Secret 对象来实现的,Secret 对象可被挂载到运行中的 Pod 内。 在最近的版本中,包括 Kubernetes v1.27,API 凭据可以直接使用 TokenRequest API 来获得,并使用一个投射卷挂载到 Pod 中。使用此方法获得的令牌具有受限的生命期长度,并且能够在挂载它们的 Pod 被删除时自动被废弃。

你仍然可以通过手动方式来创建服务账号令牌 Secret 对象,例如你需要一个永远不过期的令牌时。 不过,使用 TokenRequest 子资源来获得访问 API 的令牌的做法仍然是推荐的方式。

为 ServiceAccount 创建长期有效的 API 令牌

如果你需要为 ServiceAccount 获得一个 API 令牌,你可以创建一个新的、带有特殊注解 kubernetes.io/service-account.name 的 Secret 对象。

1
2
3
4
5
6
7
8
9
kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
name: default-secret
annotations:
kubernetes.io/service-account.name: default
type: kubernetes.io/service-account-token
EOF

如果你通过下面的命令来查看 Secret:

1
kubectl get secret/default-secret -o yaml

你可以看到 Secret 中现在包含针对 "default" ServiceAccount 的 API 令牌。

鉴于你所设置的注解,控制面会自动为该 ServiceAccount 生成一个令牌,并将其保存到相关的 Secret 中。控制面也会为已删除的 ServiceAccount 执行令牌清理操作。

1
kubectl describe secrets/default-secret

输出类似于这样:

1
2
3
4
5
6
7
8
9
10
11
12
13
Name:           default-secret
Namespace: default
Labels: <none>
Annotations: kubernetes.io/service-account.name: default
kubernetes.io/service-account.uid: da68f9c6-9d26-11e7-b84e-002dc52800da

Type: kubernetes.io/service-account-token

Data
====
ca.crt: 1338 bytes
namespace: 7 bytes
token: ...

说明:

这里将 token 的内容抹去了。得到的token是base64加密之后的,如果希望应用到别的地方,需要使用如下方式进行解密:

echo 'xxx'|base64 --decode --wrap=0

注意在你的终端或者计算机屏幕可能被旁观者看到的场合,不要显示 kubernetes.io/service-account-token 的内容。

当你删除一个与某 Secret 相关联的 ServiceAccount 时,Kubernetes 的控制面会自动清理该 Secret 中长期有效的令牌。