堆栈内存溢出
  繁体   English   中英

从Pod进行Kubernetes API访问

[英]Kubernetes API Access from Pod

 原文  2017-11-23 22:22:01       kubernetes/ openshift

问题描述

我正在尝试访问Kubernetes API,以便从已部署的容器中发现Pod。 尽管我将以编程方式进行此操作,但现在,我只是使用cURL来检查问题。

我从pod终端运行此命令: 

curl -vvv -H "Authorization: Bearer $(</var/run/secrets/kubernetes.io/serviceaccount/token)" "https://kubernetes.default/api/v1/namespaces/$(</var/run/secrets/kubernetes.io/serviceaccount/namespace)/endpoints" --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

我得到403结果: 

* About to connect() to kubernetes.default port 443 (#0)
*   Trying 172.30.0.1...
* Connected to kubernetes.default (172.30.0.1) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
  CApath: none
* NSS: client certificate not found (nickname not specified)
* SSL connection using TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
* Server certificate:
*       subject: CN=10.0.75.2
*       start date: Nov 23 16:55:27 2017 GMT
*       expire date: Nov 23 16:55:28 2019 GMT
*       common name: 10.0.75.2
*       issuer: CN=openshift-signer@1511456125
> GET /api/v1/namespaces/myproject/endpoints HTTP/1.1                                                                                            s/$(</var/run/secrets/kubernetes.io/serv
> User-Agent: curl/7.29.0
> Host: kubernetes.default
> Accept: */*> Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJteXByb2plY3QiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlY3JldC5uYW1lIjoiZGVmYXVsdC10b2tlbi00cXZidCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiMjg3NzAzYjEtZDA4OC0xMWU3LTkzZjQtNmEyNGZhYWZjYzQxIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Om15cHJvamVjdDpkZWZhdWx0In0.yl2HUhmxjrb4UqkAioq1TixWl_YqUPoxSvQPPSgl9Hzr97Hjm7icdL_mdptwEnOSErfzqSUBiMKJcIRdIa3Z7mfkgEk-f2H-M7TUU8GpXmD2Zex6Bcn_dq-Hsoed6W2PYpeFDoy98p5rSNTUL5MPMATOodeAulB0NG_zF01-8qTbLO_I6FRa3BCVXVMaZWBoZgwZ1acQbd4fJqDRsYmQMSi5P8a3nYgjBdifkQeTTb3S8Kmnszct41LoUlh9Xv29YVEyr1uQc5DSLAgQKj_NdSxkVq-MJP8z1PWV3OmHULNChocXr7RGKaNwlVpwpgNqsDAOqIyE1ozxlntIrotLBw
>
< HTTP/1.1 403 Forbidden
< Cache-Control: no-store
< Content-Type: application/json
< Date: Thu, 23 Nov 2017 22:18:01 GMT
< Content-Length: 282
<
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {},
  "status": "Failure",
  "message": "User \"system:serviceaccount:myproject:default\" cannot list endpoints in project \"myproject\"",
  "reason": "Forbidden",
  "details": {
    "kind": "endpoints"
  },
  "code": 403
}
* Connection #0 to host kubernetes.default left intact

我尝试访问许多资源,例如端点,pod等。我也忽略了命名空间(访问整个群集资源)无济于事。

我目前正在使用OpenShift Origin,请进行清洁(只需运行oc cluster up并部署测试映像即可访问Web控制台中的终端)。

2 个解决方案

解决方案1
 1  2017-11-23 23:00:56

看起来您在完全启用RBAC的群集上,并且您的默认服务帐户system:serviceaccount:myproject:default符合预期,未经授权。 您应该为此Pod创建并使用专用的服务帐户,并明确授予其访问所需阅读内容的权限。

https://kubernetes.io/docs/admin/authorization/rbac/

解决方案2
 0  2017-11-27 14:49:51

在curl命令中传递授权令牌承载。 没有它,它将被认为是未经授权的。

更多信息请参见kubernetes文档

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 从 C# 中的 pod 访问 Kubernetes API 尝试从 pod 访问 Kubernetes API 时出现 403 禁止错误 使用 Java 客户端库从 Pod 访问 Kubernetes Api 无法从 pod 容器内访问 kubernetes api 如何从 pod 容器中访问 Kubernetes api? 使用 kubernetes url 从另一个 pod 访问 pod 从另一个Pod Kubernetes访问Pod 从pod连接到Kubernetes API Kubernetes-无法从代理访问Apache Pod 如何从Kubernetes Pod访问外界
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM