March 2021 - Page 3 of 7

22 Mar 2021 Monday

NFS Provisioner

这里使用的是 ranchercharts/kubernetes_incubator-nfs-provisioner:v2.2.1-k8s1.12

rancher 提供的这个 helm 会把 share 路径固定到 node 节点的 /srv

这个 helm 最方便的地方在于，它可以直接帮你创建一个 storage class

创建一个1GB的PVC 来测试这个 class

创建一个 pod

apiVersion: v1
kind: Pod
metadata:
  name: test-storageclass-pod
  namespace: lizhe
spec:
  containers:
  - name: busybox
    image: busybox:latest
    imagePullPolicy: IfNotPresent
    command:
    - "/bin/sh"
    - "-c"
    args:
    - "sleep 3600"
    volumeMounts:
    - name: nfs-pvc
      mountPath: /mnt
  restartPolicy: Never
  volumes:
  - name: nfs-pvc
    persistentVolumeClaim:
      claimName: test-nfs-pvc

mount 成功

By studyk8s 0 Comments

22 Mar 2021 Monday

Install Jenkins on Kubernetes

由于helm的存在，似的Jenkins在Kubernetes上的安装极为简单

这里需要修改 global.storageClass

在 NFS Provisioner 一节中，我们已经创建了一个 NFS 服务并且自动安装了一个 storage class

这里可以看到 Jenkins 已经初始化了一个 8GB 大小的 PVC，并且使用了节点机的 SRV

创建一个 nodeport

bitnami版本的 jenkins 其实有一个大坑

默认的 jenkins 用户一般都是 admin，特殊情况下有 root，但是 bitnami 初始化的用户名竟然是

user

最后，你终于可以登录了

By studyk8s 0 Comments

22 Mar 2021 Monday

Kaniko on Kubernetes Jenkins

kaniko is a tool to build container images from a Dockerfile, inside a container or Kubernetes cluster.

kaniko doesn’t depend on a Docker daemon and executes each command within a Dockerfile completely in userspace. This enables building container images in environments that can’t easily or securely run a Docker daemon, such as a standard Kubernetes cluster.

kaniko is meant to be run as an image: gcr.io/kaniko-project/executor. We do not recommend running the kaniko executor binary in another image, as it might not work.

https://github.com/GoogleContainerTools/kaniko

在之前安装的jenkins上配置 cloud，添加kubernetes，测试连接会得到以下错误

提示没有足够的权限来操作pods

这里我们需要添加RBAC权限配置，可以参考 Api server 认证机制

kubectl create clusterrolebinding permissive-binding --clusterrole=cluster-admin --group=system:serviceaccounts:jenkins

创建RBAC权限之后，jenkins有了集群的管理权限

创建jenkins从 git 上 clone 代码用的账户

因为 kaniko 会直接将build好的 image push 到明明的目标仓库，所以这里需要创建 dockerhub 使用的regcred

kubectl create secret docker-registry regcred --docker-server=https://index.docker.io/v1/ --docker-username=YOURNAME --docker-password=YOURPASSWORD --docker-email=YOUREMAIL@ADDRESS -n jenkins

创建一个叫 helloworld 的 pipeline job

def label = "mypod-${UUID.randomUUID().toString()}"
podTemplate(label: label, yaml: """
kind: Pod
metadata:
  name: kaniko
spec:
  containers:
  - name: kaniko
    image: gcr.io/kaniko-project/executor:debug
    imagePullPolicy: Always
    command:
    - /busybox/cat
    tty: true
    volumeMounts:
      - name: jenkins-docker-cfg
        mountPath: /root
  volumes:
  - name: jenkins-docker-cfg
    projected:
      sources:
      - secret:
          name: regcred
          items:
            - key: .dockerconfigjson
              path: .docker/config.json
"""
) {
    node(label) {
    stage('Build with Kaniko') {
      sh label: '', script: 'free -m'
      timeout(time: 2, unit: 'HOURS'){
        dir('sourcecodes') {
          git credentialsId: '0559259b-d672-457f-8d2e-d3925c412d70', url: 'https://github.com/zl86790/kanikotest.git'
        }
      }


      container(name: 'kaniko', shell: '/busybox/sh') {
        withEnv(['PATH+EXTRA=/busybox:/kaniko']) {
          sh '''#!/busybox/sh
          pwd
          ls /home/jenkins/agent/workspace/helloworld/sourcecodes/
          /kaniko/executor -f /home/jenkins/agent/workspace/helloworld/sourcecodes/Dockerfile -c `pwd` --destination=libaibai/kanikotest:test0.1
          '''
        }
      }
    }
  }
}

尝试启动一个job

出现无法reach到服务器的错误

tcpSlaveAgentListener/: Host is unreachable (Host unreachable)

这里主要是我的 k8s2.me 是一个 /etc/hosts 填写的本地DNS，所以解析不到，换成clusterip

再次尝试启动 job

提示 tcpSlaveAgentListener 404 找不到

java.io.IOException: http://10.43.113.251:8080/tcpSlaveAgentListener/ is invalid: 404 Not Found

然后我们去打开这个 agent

再次启动job

还是错误，端口50000 连不上

SEVERE: http://10.43.113.251:8080/ provided port:50000 is not reachable

java.io.IOException: http://10.43.113.251:8080/ provided port:50000 is not reachable

这个错误就比较容易处理了，在 clusterip 的 service 上，把50000端口暴露出来

再次启动job，终于成功了

在job执行结束后，可以看到 pod 被remove掉了

可以看到image已经上传成功了

By studyk8s 0 Comments

22 Mar 2021 Monday

Build docker image from a container

为了便于理解，这里我将尽量使用手动操作，而不是Dockerfile

先启动一个 ubuntu 容器

docker run -i -t --name base ubuntu /bin/bash

在此容器中安装 docker 并且尝试执行 docker ps 会得到如下错误

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

原因其实很简单，因为容器内部存在 docker.sock ，那实际上最简单的在容器中build image的方法，就是mount 这个sock，然后容器会和宿主机共享同一个 docker.sock

docker run -i -t --name base2 -v /var/run/docker.sock:/var/run/docker.sock ubuntu /bin/bash

不过副作用是，因为使用了宿主机的 sock，这里可以看到宿主机上运行的所有容器，并且实际上已经和宿主机在使用同一个docker环境了

新建一个 Dockerfile

FROM nginx
RUN echo 'hello dockerfile' > /usr/share/nginx/html/index.html

再次尝试build

error checking context: 'no permission to read from '/proc/1/mem''.

这是因为当前容器在创建的时候没有添加宿主机的 root 权限

添加 –privileged

docker run -i -t --name base3 --privileged -v /var/run/docker.sock:/var/run/docker.sock ubuntu /bin/bash

这里有一个小插曲，如果直接在 / 路径下使用 Dockerfile的话会得到一个错误

error checking context: ‘file (‘/proc/4427/fd/5′) not found or excluded by .dockerignore’.

解决办法是不要在 / 根路径下build

By studyk8s 0 Comments

22 Mar 2021 Monday

Linux bridge

要连接两个以上的 namespace ，需要使用 Linux bridge。

网桥是二层网络设备，两个端口分别有一条独立的交换信道，不共享背板总线，可以隔离冲突（比集线器性能好一些，集线器共享同一条背板总线）

不过目前网桥已经被具有更多端口、可隔离冲突域的交换机取代了。

Linux 网桥和其他的网络设备区别在于，普通设备（例如网卡）只有两端，从一端进去从另一端出来。

物理网卡从网络中收到数据，转发给内核协议栈，从内核协议栈过来的数据会转发到外面的物理网络中。

Linux 网桥有多个端口，数据可以从任何端口进来，然后取决于 MAC 地址，选择从哪个口出去，原理和交换机差不多

创建一个网桥

root@ubuntu:/home/lizhe# ip link add name br0 type bridge
root@ubuntu:/home/lizhe# ip link set br0 up
root@ubuntu:/home/lizhe#

刚创建的网桥只有一端连接着协议栈

By studyk8s 0 Comments

22 Mar 2021 Monday

Linux veth pair

veth 是虚拟以太网卡（ Virtual Ethemet ）的缩写。

veth 设备总是成对的，因此我们称之为 veth pair。 veth pair 常被用于跨 network namespace 之间的通信，即分别将 veth pair 的两端放在不同的 namespace 里

仅有veth pair设备，容器是无法访问外部网络的。

从容器发出的数据包，实际上是直接进了 veth pair 设备的协议栈。

如果容器需要访问网络，则需要使用网桥等技术将 veth pair 设备接收的数据包转发出去。

sudo ip link add veth0 type veth peer name veth1

创建的 veth pair 在主机上表现为2块网卡，默认会创建在当前进程的命名空间内

这里的MTU默认是 1500，

可以看到默认的初始状态是 down，我们需要设置它为 up

lizhe@ubuntu:~$ sudo ip link set dev veth0 up
lizhe@ubuntu:~$ sudo ip link set dev veth1 up

配置ip

sudo ifconfig veth0 10.10.10.1/24

sudo ifconfig veth1 10.10.10.2/24

如何查看某个 veth pair 两端的设备

veth0 10.10.10.1

veth1 10.10.10.2

这里他们都在一个网段上，如果你使用 ping 命令直接 ping 它们都可以ping通

但是 ping -I veth0 10.10.10.2 使用 veth0 ping veth1 是 ping不通的

我们尝试使用 tcpdump 来看看发生了什么

可以看到 veth1 没有相应 ARP 包，所以没有ping通

下面是cloud_dev上的解释

使用 root 用户修改内核中关于 ARP 的配置

# Linux IP 路由实现中有个限制，即任何从非 loopback 网卡进来的任何数据包的源地址不能是本机地址。因此要先取消该限制

echo 1 > /proc/sys/net/ipv4/conf/veth1/accept_local

echo 1 > /proc/sys/net/ipv4/conf/veth0/accept_local

# 假设一台主机从接口 A 收到一个包，其源地址为 <srcip> ，
# 若启用反向路径过滤功能，会以 <srcip> 作为目标 IP 去查找路由表，
# 如果得到的输出接口不为 A ，则认为反向路径过滤检查失败，内核就会丢弃该包。

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

echo 0 > /proc/sys/net/ipv4/conf/veth0/rp_filter

echo 0 > /proc/sys/net/ipv4/conf/veth1/rp_filter

再试一次

可以看到 ARP 通过了，我们的 IP 10.10.10.2 成功转换成了 52:e8:fe:e7:8b:05 ，但是仍然不通，

只有 ICMP echo request , 没有 reply ，根据上面的解释，reply应该通过 localback 接口返回

监听一下 localback 接口得到

可以看到确实有 ICMP 的 reply 从 veth1 返回给 veth0 ，但是为什么还是没 ping 通呢

字段	说明
Destination	目标网络或目标主机。Destination 为 default（0.0.0.0）时，表示这个是默认网关，所有数据都发到这个网关。
Gateway	网关地址，0.0.0.0 表示当前记录对应的 Destination 跟本机在同一个网段，通信时不需要经过网关。如果没有就显示星号(*)。
Genmask	Destination 字段的网络掩码，Destination 是主机时需要设为 255.255.255.255，是默认路由时会设置为 0.0.0.0
Flags	标记 ● U 该路由可以使用。 ● H 该路由是到一个主机，也就是说，目的地址是一个完整的主机地址。如果没有设置该标志，说明该路由是到一个网络，而目的地址是一个网络地址：一个网络号，或者网络号与子网号的组合。 ● G 该路由是到一个网关（路由器）。如果没有设置该标志，说明目的地是直接相连的。 ● R 恢复动态路由产生的表项。 ● D 该路由是由改变路由（redirect）报文创建的。 ● M 该路由已被改变路由报文修改。 ● ! 这个路由将不会被接受。
Metric	路由距离，到达指定网络所需的中转数，是大型局域网和广域网设置所必需的。
Ref	路由项引用次数。
Use	此路由项被路由软件查找的次数。
Iface	网卡名字，例如 eth0。

By studyk8s 0 Comments

19 Mar 2021 Friday

Iptables

iptables 实际上包含两部分内容

一部分在 Linux 内核中，叫做 NetFilter

另一部分在用户空间中，也就是我们平时用来定义规则的 iptables

TABLE

Filter 用于过滤数据包
Nat 用于网络地址转换
Mangle 用于修改TOS
Raw 优先级最高，会跳过 NAT 和 ip_conntrack，只使用在PREROUTING chain 和 OUTPUT chain 上

CHAIN

PREROUTING：对数据包进行路由选择前（nat表中，DNAT）
INPUT：路由选择之后，发现数据包目的地址是本机，入站时（filter表中）
FORWARD：路由选择之后接收到需要通过防火墙发送给其它主机（转发时）（filter表）
POSTROUTING：对数据包进行路由选择后，数据包到路由器进行路由判断之后经过的链（nat表，SNAT）
OUTPUT：出站时（nat，filter表）

iptables主要有以下动作：

ACCEPT：接收数据包
DROP：丢弃数据包
REJECT：丢弃数据包并返回一个错误包
SNAT：做源地址转化
DNAT：做目的地址转化
MASQUERADE：地址伪装，用于动态IP
LOG：将这条匹配消息保存到系统日志中
REDIRECT:在防火墙所在的机子内部转发包或流到另一个端口
用户自定义的链名（net2all）：跳转到这条链下，进行匹配

确认系统的转发功能是打开的

echo 1 > /proc/sys/net/ipv4/ip_forward

1、iptables -L
查看filter表的iptables规则，包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。
说明：-L是--list的简写，作用是列出规则。

2、iptables -L [-t 表名]
只查看某个表的中的规则。
说明：表名一共有三个：filter,nat,mangle，如果没有指定表名，则默认查看filter表的规则列表（就相当于第一条命令）。
举例：iptables -L -t filter

3、iptables -L [-t 表名] [链名]

这里多了个链名，就是规则链的名称。
说明：iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。
举例：iptables -L INPUT
注意：链名必须大写。在Linux系统上，命令的大小写很敏感。

4、iptables -n -L
说明：以数字形式显示规则。如果没有-n，规则中可能会出现anywhere，有了-n，它会变成0.0.0.0/0

5、iptables -nv -L
说明：你也可以使用“iptables -L -nv”来查看，这个列表看起来更详细，对技术人员更友好

下面是一些具体例子

SNAT 源地址转换

SNAT一般作用在 POSTROUTING 上，最典型的应用是，多个用户通过一个外网口上网

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1

所有来自于 192.168.10.0/24网段的数据包，通过 anywhere 访问网络的，目标地址都会被转换成 172.16.100.1

说人话就是，一个 IP 是 192.168.10.2 的虚拟机，通过任意网卡请求 baidu.com ，数据包都会进入 172.16.100.1

上图中的规则

MASQUERADE all -- 172.17.0.0/16 anywhere

是 docker 正在使用的规则

从 docker ip 段 172.17.0.0/16 发出的消息报，都会被发送到 MASQUERADE(动态伪装)

MASQUERADE(动态伪装) 可以实现自动寻找到外网地址，而自动将其改为正确的外网地址

例子

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

DNAT：目的IP地址转换(PREROUTING)

出口网关再将目的地址替换为私网的源主机地址，发回内部主机。
DNAT主要有两大用处

发布内部服务器，让外面的internet用户能访问到内网的服务器
网络重定向

最直观的例子是

docker run -i -t --name nginx -p 80:80 nginx

这样得了一个ip是 172.17.0.2 的容器

DNAT目标地址转换规则

  0     0 DNAT       tcp  --  !docker0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:172.17.0.2:80

这条规则指的是

非 docker0 网卡发送到 tcp dpt:80 的地址转发给 172.17.0.2:80

SNAT 规则

    0     0 SNAT       all  --  *      *       192.168.10.0/24      0.0.0.0/0            to:172.16.100.1

也就是我们之前配置的，所有来自于 192.168.10.0/24网段的数据包，通过 anywhere 访问网络的，目标地址都会被转换成 172.16.100.1

一般来说，单纯使用 iptables是不足以让docker的基础网络运行的，route也很重要

参考

https://www.cnblogs.com/linuxws/p/10924817.html

By studyk8s 0 Comments

19 Mar 2021 Friday

Linux network namespace

如果你熟悉docker的namespace隔离机制，你应该知道docker的network也是通过 namespace隔离的

要了解kubernetes的网络原理，不得不提到 linux 的network namespace

Linux的 namespace 的作用是隔离内核资源，命名空间会给其中的进程造成两个错觉

1. 它是系统内唯一的进程

2. 它独享系统的所有资源

network namespace是从 2.6 开始引入的，作用是隔离 Linux 系统的设备，ip 地址、端口、路由表和防火墙规则等网络资源

创建一个名为 netns1 的新命名空间

sudo ip netns add netns1

当 ip 命令创建了一个新命名空间之后，系统会在 /var/run/netns 目录下生成一个新的挂载点

挂载点的作用在于一方面是为了方便命名空间管理，另一个方面是使命名空间可以在没有进程运行时也能继续存在

删除命令并不会直接删除这个命名空间，它只是移除了挂载点，这样只要命名空间中仍然有进程运行，它就会一直存在

当 namespace 中的进程涉及到网络通信时，它就需要一个虚拟网络设备，一个全新的 namespace 会附带创建一个本地回环地址，上面的截屏中我们已经看到了。

不过需要注意的是，默认创建的网卡并没有默认启动

sudo ip netns exec netns1 ip link set dev lo up

仅有一个回环网卡是无法与外部通信的，之前在旧版本的 docker 上我使用过 veth pair，这里是一样的套路

veth pair 总是成对出现的，报文从一端进去，从另一端出来

这里我在宿主机上创建两个端点， veth_left 和 veth_right

然后把 veth_left 绑定到 netns1 , 把 veth_right 绑定到（留给，默认就是在宿主机上创建的）当前宿主机

lizhe@ubuntu:~$ sudo ip link add veth_left type veth peer name veth_right
lizhe@ubuntu:~$ sudo ip link set veth_left netns netns1
lizhe@ubuntu:~$ 
lizhe@ubuntu:~$ sudo ip netns exec netns1 ifconfig veth_left 10.1.1.1/24 up
lizhe@ubuntu:~$ sudo ifconfig veth_right 10.1.1.2/24 up

ping 10.1.1.1

sudo ip netns exec netns1 ping 10.1.1.2

命名空间内和命名空间外都可以互相ping通

之前我们说命名空间的作用是隔离

那么路由表和防火墙呢

sudo ip netns exec netns1 route

sudo ip netns exec netns1 iptables -L

我们试着使用 NAT 让 netns1 可以访问外网

开启 linux kernel ip forwarding

sudo sysctl net.ipv4.ip_forward=1

将 netns1 的默认路由设为 veth_right ( 宿主机的veth ）的 IP 地址

sudo ip netns exec netns1 route add default gw 10.1.1.2

确认一下网卡名称，这里是 ens33

配置 SNAT，将从 myspace 发出的网络包的 soruce IP address 替换为 ens33 的 IP 地址

sudo iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o ens33 -j MASQUERADE

在默认 FORWARD 规则为 DROP 时显式地允许 veth1 和 eth0 之间的 forwarding

lizhe@ubuntu:~$ sudo iptables -t filter -A FORWARD -i eth0 -o veth_right -j ACCEPT
lizhe@ubuntu:~$ sudo iptables -t filter -A FORWARD -o eth0 -i veth_right -j ACCEPT

sudo iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o ens33 -j MASQUERADE

最后我们来检查一下 route 并确认结果

每个 Linux 进程都拥有一个属于自己的 /proc/PID/ns ，这个目录下的每个文件都代表一个类型的namespace

在内核版本3.8之前，只包含 ipc、net 和 uts 的硬链接

在内核版本3.8之后，每个文件都是一个特殊的符号链接文件。

这些符号链接的其中一个用途是确定两个进程是否同属于同一个 namespace，
如果两个进程在同一个namespace中，那么这两个进程的 /proc/PID/ns 目录下对应的符号链接文件的 inode，就是【】中的数字，将会是一样的。

另外一个作用是，通过文件描述符，在不需要进程存在的情况下也能保持 namespace 存在。

By studyk8s 0 Comments

18 Mar 2021 Thursday

CrashLoopBackOff

CrashLoopBackOff 状态表示 Kubelet 还没有放弃，它意味着在崩溃之后Kubelet会增加下次重启的间隔时间

间隔时间会按照 10秒，20秒，40秒，80秒，160秒，最终收敛于 300 秒

一旦间隔时间到达 300 秒，Kubelet 将会以固定的 300 秒为间隔时间对容器进行无限重启

By studyk8s 0 Comments

18 Mar 2021 Thursday

Api server 认证机制

在CoreDNS一节中，虽然我安装 coredns的尝试失败了，但是我们仍然可以看到 dns 组件是如何安装的

安装过程中有一个错误

failed with No API token found for service account “coredns”

我们选择禁用 ServiceAccount 简单粗暴的规避了这个错误

将：KUBE_ADMISSION_CONTROL=”–admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota”

改为：KUBE_ADMISSION_CONTROL=”–admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota”

所以这一节我打算研究一下 ServiceAccount

当你从集群外部访问 apiserver 的时候，使用的是 kubectl 命令行，此时是不需要service account 的，但是当我们从一个pod内部访问它，这种情况下往往没有 kubectl 可用，因此，想要从一个pod内部访问 api server ，就需要 service account

如果你查看当前集群中所有的 service 你可以看到一定会有一个叫做 kubernetes 的 service ，类型是 clusterIP 实际上这个 service 就是 api server

为了测试上面的内容，我要创建一个 ubuntu pod ，然后用它尝试连接 api server

apiVersion: apps/v1

kind: Deployment

metadata:

  name: ub2

  labels:

    app: ub2

spec:

  replicas: 1

  selector:

    matchLabels:

      app: ub2

  template:

    metadata:

      labels:

        app: ub2

    spec:

      containers:

      - name: ub2

        image: libaibai/ub2:latest

        command: ["/bin/bash","-c","sleep 3600"]

        ports:

        - containerPort: 80

然后我们使用这个pod来尝试访问 apiserver

api server 的 cert 存放在 secret 中

这个文件会被映射到每个pod 的 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

但是你不能直接使用这个 cert 来通过验证，下面出现的401 和上面出现的 401 一样都是客户端忽略或信任了服务器端之后的结果

但是服务器并没有授权客户端

如果客户端不信任服务器端是这样的

需要得到 api server 的授权，要使用

/var/run/secrets/kubernetes.io/serviceaccount/token

curl --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6Ikxsc0ZlMElUY3FLanNONGRoYzMtTGJDWXZjZWE2WXVkR2pOajdtNXNHTTAifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRlZmF1bHQtdG9rZW4tZzZzdzYiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGVmYXVsdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjQ1NzY1NzdkLTNkNGYtNDUyMS1iNDdkLWY5MmJhOGUxNjg3MyIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmRlZmF1bHQifQ.SAdvtBm1v4-YzD7qTC4KOdt6PDY4vAyptGzQkGNP17BqAqDNi9-dbrfJdYEFgof7nyMZH_TCMhi1FXMZJwQ5zOKXeS_YKruJuvJ1iXLwW2MoVy-conJmkoMU-SRcsy8tjv5KkLEZa9adIRG_8jHGc4zSRvs-5YkApsIYYOMFcUbhIVjyMt_rXIeb900hj1e5AhcaSQ19gy2paQkcCbaFnxq7dsgSbpsy011QDe-FzaWv7yY8xI3PJj-JIRgrDxV4WbtalJ5V5IrNcFhHyB7hxawZKvexIJ_ndPewacA42vIUoemAYCQYXm3Bio_ynd-gTQJQzo0YBGxSxfrHnIaHsQ"  https://10.43.0.1:443

返回状态码变成了403，这是因为我们的集群使用了 RBAC

Kubernetes 将连接到 api server 的客户端分为两种

真实的人
pod 中的应用（ service account ）

正常用户和 service account 都可以属于一个或者多个组

常用组：

system:unauthenticated 用于所有认证插件都不会认证认证客户端身份的请求

system:authenticated 组会自动分配给一个成功通过认证的用户

system:serviceaccounts 包含所有在系统中的 ServiceAccount

system:serviceaccounts:<namespace> 组包含了所有在特定命名空间中的 ServiceAccount

下面来做实验

首先是失败实验

我们在 lizhe namespace 下面创建一个 ubuntu 实例，

然后尝试在没有授予权限的情况下访问 api server

果然得到了403

下面是正确的实验

给定权限

kubectl create clusterrolebinding permissive-binding --clusterrole=cluster-admin --group=system:serviceaccounts:lizhe

删除的话：

kubectl delete clusterrolebindings permissive-binding

再调用一次 curl

ServiceAccount 和 pod、secret、configmap 一样都是资源，资源的话一定存在于某个 namespace 中

我们尝试新建一个 namespace，可以看到，新的namespace （ lizhe2 ）自动持有了一个 service account

每个pod 都会与一个 serviceaccount 关联，但是多个pod可以使用同一个serviceaccount

每个pod会被分配一个在这个pod namespace中的单一 serviceaccount

在pod的描述文件中，可以将一个service account 赋给一个pod，如果没有显示地指定 service account，pod会使用所在 namespace 的默认 service account

创建一个新的namespace lizhe10

在其下创建 ubuntu10

实验一

当 ubuntu10 使用默认的 service account （由 lizhe10 提供的）时，得到了403 ，无法访问 api server

实验二

给 pod 赋值其他 namespace 下的 service account -> 失败

pod ubuntu10 在 namespace lizhe10 下

sa lizhesa 在 namespace lizhe 下

给 ubuntu10 赋 lizhesa 失败

实验三

在 lizhe10 这个 namespace 下创建一个 sa ，叫做 lizhesa10

把这个新建的 sa lizhesa10 赋给 ubuntu10

此时，如果你尝试使用 lizhe10 这个 sa 去访问 api server，会得到 403

然后我们为 lizhesa10 赋权限

语法是这样的，之前我们用的是 group

 $ clusterrolebinding NAME --clusterrole=NAME [--user=username] [--group=groupname] [--serviceaccount=namespace:serviceaccountname] [--dry-run]

这次我们使用 service account

kubectl create clusterrolebinding permissive-binding-lizhesa10 --clusterrole=cluster-admin --serviceaccount=lizhe10:lizhesa10

生效之后你就可以得到正确的 response了

下面是一些题外话

如果使用 describe 命令，查看这个 sa ，可以看到它携带了一个 token

kubectl describe sa lizhesa10 -n lizhe10

这个token实际上就是你在 pod 中得到的那个 token

RBAC 授权插件将用户角色作为决定用户是否能执行操作的关键因素。

主体（人、sa 或者 group ）和一个或者多个 role 关联，每个 role 被允许在特定的资源上执行特定的动作

如果一个用户有多个角色，他们可以做任何角色允许的动作。

RBAC 通过创建四种特定的 Kubernetes 资源来完成

Role 和 ClusterRole

它们指定了在资源上可以执行哪些动作

RoleBinding 和 ClusterRoleBinding

它们将上述角色绑定到特定的用户、组或者 sa 上

之前我们使用过

kubectl create clusterrolebinding permissive-binding --clusterrole=cluster-admin --group=system:serviceaccounts:lizhe

意思是创建了一个名为 permissive-binding 的类型是 clusterrolebinding 的绑定到 clusterrole ，绑定的对象是一个组该组作用域为 lizhe namespace

RoleBinding与ClusterRoleBinding

RoleBinding
RoleBinding可以将同一namespace中的subject（用户）绑定到某个具有特定权限的Role下，则此subject即具有该Role定义的权限。

ClusterRoleBinding
ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定，授予权限。

Role与ClusterRole

Role
Role对象只能用于授予对某一namespace中资源的访问权限。

ClusterRole
ClusterRole对象可以授予整个集群范围内资源访问权限，也可以对以下几种资源的授予访问权限：

集群范围资源（例如节点，即node）
非资源类型endpoint（例如”/healthz”）
跨所有namespaces的范围资源（例如pod，需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)

By studyk8s 0 Comments

Month: March 2021

iptables主要有以下动作：

RoleBinding与ClusterRoleBinding

Role与ClusterRole

Send a Message