关于kubernetes:收尾解读官方示例加深理解K8S群内POD访问API时是如何进行身份验证

写在开篇

这几天有点忙，终于抽出工夫更新了，之前曾经通过这篇《通过源码剖析通知你：当拜访 K8S API 的代码运行在 POD 里的容器时，在集群内是如何进行身份验证的》搞清楚了在集群内如何进行身份验证。那么，官网还提供了一个简略的利用示例，链接：https://github.com/kubernetes/client-go/tree/master/examples/in-cluster-client-configuration

本篇的主题是解读一下这个示例。联合之前的常识储备并等本篇讲完后，就会很清晰的晓得集群内的 POD 拜访 API 时是如何进行身份验证的。下次就要回到这篇《对于 ServiceAccount 以及在集群内拜访 K8S API》持续解说接下来的实战内容了，有没有发现兜了个圈又兜回来了。

示例代码剖析

针对官网提供的示例，我做了点小革新。这段代码是一个应用 Kubernetes Go 客户端（client-go）的示例程序，用于获取 Kubernetes 集群中所有 Pod 的信息，并每隔 10 秒打印一次 Pod 的数量和 POD 名称。

package main

import (
 "context"
 "fmt"
 "time"

 metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
 "k8s.io/client-go/kubernetes"
 "k8s.io/client-go/rest"
)

func main() {config, err := rest.InClusterConfig()
 if err != nil {panic(err.Error())
 }
 clientset, err := kubernetes.NewForConfig(config)
 if err != nil {panic(err.Error())
 }
 for {pods, err := clientset.CoreV1().Pods("").List(context.TODO(), metav1.ListOptions{})
  if err != nil {panic(err.Error())
  }
  for _, pod := range pods.Items {fmt.Printf("命名空间：%s POD 名称：%s\n", pod.Namespace, pod.Name)
  }
  fmt.Printf("集群中有 %d 个 pod", len(pods.Items))
  time.Sleep(10 * time.Second)
 }
}

须要留神的事件，看这段代码的 InClusterConfig 函数，记得上次对它剖析过：

config, err := rest.InClusterConfig()
if err != nil {panic(err.Error())
}

这段代码应用 rest.InClusterConfig() 函数获取以后运行环境下的 Kubernetes 集群的配置。如果获取配置时产生谬误，通过 panic 抛出异样。

不信的话，编译后运行试试：

[root@workhost in-cluster-client-configuration]# ./app 
panic: unable to load in-cluster configuration, KUBERNETES_SERVICE_HOST and KUBERNETES_SERVICE_PORT must be defined

goroutine 1 [running]:
main.main()
        /root/project/gocode/src/in-cluster-client-configuration/main.go:17 +0x314

报错了。要解决这个问题，就是要将这个应用程序在 POD 内运行。

提醒：报错的根本原因是因为这两个自定义变量是由 K8S 本身治理且定义在了 POD 里的容器内，只有将这个示例利用运行在 POD 里的容器能力正确加载自定义变量。

编译应用程序

[root@workhost src]# cd in-cluster-client-configuration/
[root@workhost in-cluster-client-configuration]# go mod init
go: creating new go.mod: module in-cluster-client-configuration
go: to add module requirements and sums:
        go mod tidy
[root@workhost in-cluster-client-configuration]# go mod tidy
[root@workhost in-cluster-client-configuration]# GOOS=linux go build -o ./app .

• GOOS=linux：这将 GOOS 环境变量设置为 linux，示意专门为 Linux 构建应用程序。
• go build：这是 Go 语言的编译命令，用于编译 Go 源代码并生成可执行文件。
• -o ./app：这是一个选项，指定编译输入的可执行文件的名称和门路。在这个命令中，- o 示意指定输入文件，./app 示意输入文件的门路和名称为当前目录下的 app。
• .：这是命令的最初一个参数，示意当前目录中的 Go 源代码文件。这通知编译器从当前目录中的所有 Go 源文件中构建应用程序。

编译后：

[root@workhost in-cluster-client-configuration]# ls -l
total 43928
-rwxr-xr-x. 1 root root 44919028 May 23 08:59 app # 编译后失去的可执行二进制文件
-rw-r--r--. 1 root root       44 May 23 08:56 Dockerfile
-rw-r--r--. 1 root root     1909 May 23 08:59 go.mod
-rw-r--r--. 1 root root    47303 May 23 08:59 go.sum
-rw-r--r--. 1 root root     1750 May 23 08:57 main.go 

制作镜像

Dockerfile 内容：

FROM debian
COPY ./app /app
ENTRYPOINT /app

构建镜像和推送到公有仓库：

docker build -t 192.168.11.254:8081/library/example-app:v1 .
docker push 192.168.11.254:8081/library/example-app:v1

在 K8S 运行

[root@k8s-b-master ~]# kubectl run --rm -i example-pod --image=192.168.11.254:8081/library/example-app:v1
pod "example-pod" deleted
error: timed out waiting for the condition

竟然超时了，没有获取到 POD。官网示例中提到，如果在 K8S 集群上启用了 RBAC，就须要创立角色绑定。就此看来是因为权限问题导致。那先确定一下 k8s 集群是否启用了 RBAC：

[root@k8s-b-master kubernetes]# kubectl api-versions | grep rbac
rbac.authorization.k8s.io/v1
[root@k8s-b-master kubernetes]# kubectl get roles,rolebindings --all-namespaces
NAMESPACE     NAME                                                                            CREATED AT
kube-public   role.rbac.authorization.k8s.io/kubeadm:bootstrap-signer-clusterinfo             2023-04-30T03:23:50Z
kube-public   role.rbac.authorization.k8s.io/system:controller:bootstrap-signer               2023-04-30T03:23:48Z
kube-system   role.rbac.authorization.k8s.io/extension-apiserver-authentication-reader        2023-04-30T03:23:48Z
...

这些输入提供了与 RBAC 受权相干的信息，包含可用的 API 版本以及集群中的角色和角色绑定配置，所以是启用了 RBAC 的。

留神：如果是应用 kubeadm 搭建的 k8s 集群，那么 rbac 默认都是启用的。如果是二进制搭建的，那就不肯定了，这将取决于您的配置和部署抉择。

接下来，创立一个名为 ”default-view” 的 ClusterRoleBinding：

kubectl create clusterrolebinding default-view --clusterrole=view --serviceaccount=default:default

• default-view：ClusterRoleBinding 的名称。在这个例子中，ClusterRoleBinding 将被命名为 ”default-view”。
• –clusterrole=view：选项，指定要绑定的 ClusterRole。这里指定了 ”view” ClusterRole，它具备查看（view）集群资源的权限。ClusterRole 是一组权限的汇合，能够授予用户、组或服务账号特定的权限。
• –serviceaccount=default:default：选项，指定要绑定到 ClusterRole 的 ServiceAccount。这里指定了 ”default:default”，示意将 ”default” 命名空间下的 ”default” ServiceAccount 与 ClusterRole 进行绑定。

总之，这个命令将创立一个名为 ”default-view” 的 ClusterRoleBinding，将 ”default” 命名空间下的 ”default” ServiceAccount 与 ”view” ClusterRole 进行绑定。这意味着 ”default” ServiceAccount 将具备查看集群资源的权限。这能够用于授予特定的 ServiceAccount 对集群资源的只读拜访权限，而无需授予其余更高级的权限。

创立完角色绑定后持续运行：

[root@k8s-b-master ~]# kubectl run --rm -i example-pod --image=192.168.11.254:8081/library/example-app:v1
If you don't see a command prompt, try pressing enter.
命名空间：default POD 名称：example-pod
命名空间：default POD 名称：goweb-7db674b88c-d544x
命名空间：default POD 名称：goweb-7db674b88c-j5hd6
命名空间：default POD 名称：goweb-7db674b88c-v2z5r
命名空间：default POD 名称：nginx
命名空间：kube-system POD 名称：calico-kube-controllers-567c56ff98-pb4dj
命名空间：kube-system POD 名称：calico-node-7kqhw
命名空间：kube-system POD 名称：calico-node-hbbs4
命名空间：kube-system POD 名称：calico-node-pngws
命名空间：kube-system POD 名称：calico-node-r8vp9
命名空间：kube-system POD 名称：calico-node-sfws4
命名空间：kube-system POD 名称：calico-node-skktr
命名空间：kube-system POD 名称：calico-node-wm2lt
命名空间：kube-system POD 名称：coredns-c676cc86f-lkw8r
命名空间：kube-system POD 名称：coredns-c676cc86f-ncnnn
命名空间：kube-system POD 名称：etcd-k8s-b-master
命名空间：kube-system POD 名称：kube-apiserver-k8s-b-master
命名空间：kube-system POD 名称：kube-controller-manager-k8s-b-master
命名空间：kube-system POD 名称：kube-proxy-8hw4f
命名空间：kube-system POD 名称：kube-proxy-9qsc8
命名空间：kube-system POD 名称：kube-proxy-b4vjj
命名空间：kube-system POD 名称：kube-proxy-d7lh9
命名空间：kube-system POD 名称：kube-proxy-nmdxd
命名空间：kube-system POD 名称：kube-proxy-ql2kf
命名空间：kube-system POD 名称：kube-proxy-stfff
命名空间：kube-system POD 名称：kube-scheduler-k8s-b-master
集群中有 26 个 pod 命名空间：default POD 名称：example-pod
命名空间：default POD 名称：goweb-7db674b88c-d544x
命名空间：default POD 名称：goweb-7db674b88c-j5hd6
命名空间：default POD 名称：goweb-7db674b88c-v2z5r
命名空间：default POD 名称：nginx
命名空间：kube-system POD 名称：calico-kube-controllers-567c56ff98-pb4dj
命名空间：kube-system POD 名称：calico-node-7kqhw
命名空间：kube-system POD 名称：calico-node-hbbs4
命名空间：kube-system POD 名称：calico-node-pngws
命名空间：kube-system POD 名称：calico-node-r8vp9
命名空间：kube-system POD 名称：calico-node-sfws4
命名空间：kube-system POD 名称：calico-node-skktr
命名空间：kube-system POD 名称：calico-node-wm2lt
命名空间：kube-system POD 名称：coredns-c676cc86f-lkw8r
命名空间：kube-system POD 名称：coredns-c676cc86f-ncnnn
命名空间：kube-system POD 名称：etcd-k8s-b-master
命名空间：kube-system POD 名称：kube-apiserver-k8s-b-master
命名空间：kube-system POD 名称：kube-controller-manager-k8s-b-master
命名空间：kube-system POD 名称：kube-proxy-8hw4f
命名空间：kube-system POD 名称：kube-proxy-9qsc8
命名空间：kube-system POD 名称：kube-proxy-b4vjj
命名空间：kube-system POD 名称：kube-proxy-d7lh9
命名空间：kube-system POD 名称：kube-proxy-nmdxd
命名空间：kube-system POD 名称：kube-proxy-ql2kf
命名空间：kube-system POD 名称：kube-proxy-stfff
命名空间：kube-system POD 名称：kube-scheduler-k8s-b-master
集群中有 26 个 pod 命名空间：default POD 名称：example-pod
命名空间：default POD 名称：goweb-7db674b88c-d544x
命名空间：default POD 名称：goweb-7db674b88c-j5hd6
命名空间：default POD 名称：goweb-7db674b88c-v2z5r
命名空间：default POD 名称：nginx
命名空间：kube-system POD 名称：calico-kube-controllers-567c56ff98-pb4dj
命名空间：kube-system POD 名称：calico-node-7kqhw
命名空间：kube-system POD 名称：calico-node-hbbs4
命名空间：kube-system POD 名称：calico-node-pngws
命名空间：kube-system POD 名称：calico-node-r8vp9
命名空间：kube-system POD 名称：calico-node-sfws4
命名空间：kube-system POD 名称：calico-node-skktr
命名空间：kube-system POD 名称：calico-node-wm2lt
命名空间：kube-system POD 名称：coredns-c676cc86f-lkw8r
命名空间：kube-system POD 名称：coredns-c676cc86f-ncnnn
命名空间：kube-system POD 名称：etcd-k8s-b-master
命名空间：kube-system POD 名称：kube-apiserver-k8s-b-master
命名空间：kube-system POD 名称：kube-controller-manager-k8s-b-master
命名空间：kube-system POD 名称：kube-proxy-8hw4f
命名空间：kube-system POD 名称：kube-proxy-9qsc8
命名空间：kube-system POD 名称：kube-proxy-b4vjj
命名空间：kube-system POD 名称：kube-proxy-d7lh9
命名空间：kube-system POD 名称：kube-proxy-nmdxd
命名空间：kube-system POD 名称：kube-proxy-ql2kf
命名空间：kube-system POD 名称：kube-proxy-stfff
命名空间：kube-system POD 名称：kube-scheduler-k8s-b-master
集群中有 26 个 pod
...
...
...

本文转载于 WX 公众号：不背锅运维（喜爱的盆友关注咱们）：https://mp.weixin.qq.com/s/N3ArZ-T62yUZClf2UN5Qrg