Jak uzyskać dostęp do API Kubernetes z poziomu kontenera pod?

Każdy pod ma automatycznie przypisane konto usługi, które pozwala mu uzyskać dostęp do serwera apiserver. Konto usługi udostępnia zarówno dane uwierzytelniające klienta, w postaci tokena na okaziciela, jak i certyfikat urzędu certyfikacji, który został użyty do podpisania certyfikatu przedstawionego przez serwer APIs. Dzięki tym dwóm informacjom możesz utworzyć bezpieczne, uwierzytelnione połączenie z API bez użycia curl -k (aka curl --insecure):

curl -v --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://kubernetes/

Korzystanie z Klienta Pythona kubernetes..

from kubernetes import client, config

config.load_incluster_config()
v1_core = client.CoreV1Api()

Wersja Wget:

KUBE_TOKEN=$(</var/run/secrets/kubernetes.io/serviceaccount/token)    
wget -vO- --ca-certificate /var/run/secrets/kubernetes.io/serviceaccount/ca.crt  --header "Authorization: Bearer $KUBE_TOKEN" https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME

Dla każdego, kto korzysta z Google Container Engine (powered by Kubernetes):

Proste wywołanie https://kubernetes z klastra przy użyciu tego klienta kubernetes dla Java działa.

Serwer API kubernetes może być dostępny bezpośrednio z poziomu pod " https://kubernetes.default ". Domyślnie używa "domyślnego konta usługi" do uzyskiwania dostępu do serwera api.

Tak więc, musimy również przekazać "ca cert" i "default service account token", aby uwierzytelnić się za pomocą serwera api.

Plik certyfikatu jest przechowywany w następującej lokalizacji wewnątrz pod : w tym celu należy wykonać następujące czynności:]}

I domyślne konto usługi token na : w tym celu należy wykonać następujące czynności:]}

Możesz użyć NodeJS kubbernetes godaddy client .

let getRequestInfo = () => {
    return {
        url: "https://kubernetes.default",
        ca:   fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/ca.crt').toString(),
        auth: {
            bearer: fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/token').toString(),
        },
        timeout: 1500
    };
}

let initK8objs = () =>{
    k8obj = getRequestInfo();
    k8score = new Api.Core(k8obj),
    k8s = new Api.Api(k8obj);
}

Napotkałem ten problem podczas próby uzyskania dostępu do API z wnętrza pod za pomocą kodu Go. Poniżej jest to, co zaimplementowałem, aby to działało, jeśli ktoś natknie się na to pytanie, chcąc użyć Go.

Przykład używa zasobu pod, dla którego powinieneś użyć biblioteki client-go, jeśli pracujesz z natywnymi obiektami kubernetes. Kod jest bardziej pomocny dla osób pracujących z CustomResourceDefintions.

serviceHost := os.GetEnv("KUBERNETES_SERVICE_HOST")
servicePort := os.GetEnv("KUBERNETES_SERVICE_PORT")
apiVersion := "v1" // For example
namespace := default // For example
resource := "pod" // For example
httpMethod := http.MethodGet // For Example

url := fmt.Sprintf("https://%s:%s/apis/%s/namespaces/%s/%s", serviceHost, servicePort, apiVersion, namespace, resource)

u, err := url.Parse(url)
if err != nil {
  panic(err)
}
req, err := http.NewRequest(httpMethod, u.String(), bytes.NewBuffer(payload))
if err != nil {
    return err
}

caToken, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/token")
if err != nil {
    panic(err) // cannot find token file
}

req.Header.Set("Content-Type", "application/json")
req.Header.Set("Authorization", fmt.Sprintf("Bearer %s", string(caToken)))

caCertPool := x509.NewCertPool()
caCert, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/ca.crt")
if err != nil {
    return panic(err) // Can't find cert file
}
caCertPool.AppendCertsFromPEM(caCert)

client := &http.Client{
  Transport: &http.Transport{
    TLSClientConfig: &tls.Config{
        RootCAs: caCertPool,
    },
  },
}

resp, err := client.Do(req)
if err != nil {
    log.Printf("sending helm deploy payload failed: %s", err.Error())
    return err
}
defer resp.Body.Close()

// Check resp.StatusCode
// Check resp.Status

Najważniejszym dodatkiem do wyżej wymienionych szczegółów jest to, że pod, z którego próbujesz uzyskać dostęp do serwera API, powinien mieć możliwości RBAC, aby to zrobić.

Każdy podmiot w systemie k8s jest identyfikowany przez konto usługi (jak konto użytkownika używane dla użytkowników). Na podstawie możliwości RBAC, Token konta usługi (/var/run/secrets/kubernetes.io/serviceaccount/token) jest wypełniany. Pykube) może przyjąć ten token jako dane wejściowe podczas tworzenia połączenia z serwerami kube-api. Jeśli pod ma odpowiednie możliwości RBAC, pod byłby w stanie nawiązać połączenie z serwerem kube-api.

curl -v -cacert <path to>/ca.crt --cert <path to>/kubernetes-node.crt --key <path to>/kubernetes-node.key https://<ip:port>

Moja wersja k8s to 1.2.0, a w innych wersjach też ma działać^ ^

Przy włączonym RBAC domyślne konto usługi nie ma żadnych uprawnień.

Lepiej Utwórz oddzielne konto usługi dla swoich potrzeb i użyj go do utworzenia pod.

spec:
  serviceAccountName: secret-access-sa
  containers:
    ...

Jest to dobrze wyjaśnione tutaj https://developer.ibm.com/recipes/tutorials/service-accounts-and-auditing-in-kubernetes/

Miałem podobny problem z auth na GKE, gdzie Skrypty Pythona nagle rzucały wyjątki. Rozwiązanie, które zadziałało dla mnie, to dać pods pozwolenie poprzez rolę

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: fabric8-rbac
subjects:
  - kind: ServiceAccount
  # Reference to upper's `metadata.name`
  name: default
  # Reference to upper's `metadata.namespace`
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

Aby uzyskać więcej informacji wpisz opis linku tutaj