使用Restful API访问k8s集群

创建命名空间或者使用已有的命令空间kubectl create ns myns创建serviceaccount名称为mysc，命名空间为mynskubectl create serviceaccount mysc -n myns使用RBAC赋权创建Role定义访问资源的权限，rules参考使用 RBAC 鉴权 | KubernetesapiVersion: rbac.authorization.k

whz-emm

1036人浏览 · 2021-10-29 16:37:46

whz-emm · 2021-10-29 16:37:46 发布

创建命名空间

或者使用已有的命令空间

kubectl create ns myns

创建serviceaccount

名称为mysc，命名空间为myns，此命令会在当前的名字空间中生成一个服务账号和一个与之关联的 Secret

kubectl create serviceaccount mysc -n myns

查看Secret

kubectl get serviceaccount -n myns mysc -o yaml

使用RBAC赋权

创建Role

定义访问资源的权限，rules参考使用 RBAC 鉴权 | Kubernetes

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: myns
  name: mysc-role
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["list", "create"]

创建RoleBinding

将serviceaccount与Role绑定，subjects使用参考使用 RBAC 鉴权 | Kubernetes

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-rolebinding
  namespace: myns
subjects:
- kind: ServiceAccount
  name: mysc
roleRef:
  kind: Role
  name: mysc-role
  apiGroup: rbac.authorization.k8s.io

获取TOKEN和APISERVER

export TOKEN=$(kubectl describe secrets -n myns $(kubectl -n myns get secret | awk '/mysc/{print $1}')|awk '{printf("%s\n", $2)}' |tail -1| awk '{printf("%s", $1)}')
export APISERVER=$(kubectl config view |grep server|cut -f 2- -d ":" | tr -d " ")

使用token获取资源

注意，需要加-H "Authorization: Bearer $TOKEN"请求头，api可在Kubernetes API Reference Docs获取

curl -H "Authorization: Bearer $TOKEN" ${APISERVER}/api/v1/namespaces/myns/pods -k

使用ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: mysc-clusterrole
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["list", "create"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: my-clusterrolebinding   //不加namespace，会被忽略，因为 ClusterRoles 不受名字空间限制
subjects:
- kind: ServiceAccount
  name: mysc
  namespace: myns    //在metadata中没加namespace，因此在此处需要加上，不然没法找到mysc
roleRef:
  kind: ClusterRole
  name: mysc-clusterrole
  apiGroup: rbac.authorization.k8s.io

此时可获取除myns命名空间的资源

curl -H "Authorization: Bearer $TOKEN" ${APISERVER}/api/v1/namespaces/default/pods -k

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub