• 使用 kubeconfig 或 token 进行用户身份认证
    • 使用 kubeconfig
    • 生成 token
  • 参考

    使用 kubeconfig 或 token 进行用户身份认证

    在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式,在 dashboard 的登录功能就可以使用这两种登录功能。

    下文分两块以示例的方式来讲解两种登陆认证方式:

    • 为 brand 命名空间下的 brand 用户创建 kubeconfig 文件
    • 为集群的管理员(拥有所有命名空间的 amdin 权限)创建 token

    使用 kubeconfig

    如何生成kubeconfig文件请参考创建用户认证授权的kubeconfig文件。

    注意我们生成的 kubeconfig 文件中没有 token 字段,需要手动添加该字段。

    比如我们为 brand namespace 下的 brand 用户生成了名为 brand.kubeconfig 的 kubeconfig 文件,还要再该文件中追加一行 token 的配置(如何生成 token 将在下文介绍),如下所示:

    kubeconfig文件

    对于访问 dashboard 时候的使用 kubeconfig 文件如brand.kubeconfig 必须追到 token 字段,否则认证不会通过。而使用 kubectl 命令时的用的 kubeconfig 文件则不需要包含 token 字段。

    生成 token

    需要创建一个admin用户并授予admin角色绑定,使用下面的yaml文件创建admin用户并赋予他管理员权限,然后可以通过token访问kubernetes,该文件见admin-role.yaml。

    1. kind: ClusterRoleBinding
    2. apiVersion: rbac.authorization.k8s.io/v1beta1
    3. metadata:
    4.   name: admin
    5.   annotations:
    6.     rbac.authorization.kubernetes.io/autoupdate: "true"
    7. roleRef:
    8.   kind: ClusterRole
    9.   name: cluster-admin
    10.   apiGroup: rbac.authorization.k8s.io
    11. subjects:
    12. - kind: ServiceAccount
    13.   name: admin
    14.   namespace: kube-system
    15. ---
    16. apiVersion: v1
    17. kind: ServiceAccount
    18. metadata:
    19.   name: admin
    20.   namespace: kube-system
    21.   labels:
    22.     kubernetes.io/cluster-service: "true"
    23.     addonmanager.kubernetes.io/mode: Reconcile

    然后执行下面的命令创建 serviceaccount 和角色绑定,对于其他命名空间的其他用户只要修改上述 yaml 中的 namenamespace 字段即可:

    1. kubectl create -f admin-role.yaml

    创建完成后获取secret和token的值。

    1. # 获取admin-token的secret名字
    2. $ kubectl -n kube-system get secret|grep admin-token
    3. admin-token-nwphb                          kubernetes.io/service-account-token   3         6m
    4. # 获取token的值
    5. $ kubectl -n kube-system describe secret admin-token-nwphb
    6. Name:        admin-token-nwphb
    7. Namespace:    kube-system
    8. Labels:        <none>
    9. Annotations:    kubernetes.io/service-account.name=admin
    10.         kubernetes.io/service-account.uid=f37bd044-bfb3-11e7-87c0-f4e9d49f8ed0
    12. Type:    kubernetes.io/service-account-token
    14. Data
    15. ====
    16. namespace:    11 bytes
    17. token:        非常长的字符串
    18. ca.crt:        1310 bytes

    也可以使用 jsonpath 的方式直接获取 token 的值,如:

    1. kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d

    注意:yaml 输出里的那个 token 值是进行 base64 编码后的结果,一定要将 kubectl 的输出中的 token 值进行 base64 解码,在线解码工具 base64decode,Linux 和 Mac 有自带的 base64 命令也可以直接使用,输入 base64 是进行编码,Linux 中base64 -d 表示解码,Mac 中使用 base64 -D

    我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 token 值会认证失败,详见 secret 配置。关于 JSONPath 的使用请参考 JSONPath 手册。

    参考

    • JSONPath 手册
    • Kubernetes 中的认证