kubectl --token=$TOKEN 未使用令牌的权限运行

Question

kubectl --token=$TOKEN 未使用令牌的权限运行

E23*_*235 4 bearer-token kubernetes kubectl

kubectl当我使用带有标志的命令--token并指定令牌时，它仍然使用文件中的管理员凭据kubeconfig。

这就是我所做的：

NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
kubectl create sa $SERVICE_ACCOUNT_NAME
kubectl create clusterrolebinding list-pod-clusterrolebinding \
     --clusterrole=list-pod-clusterrole \
     --serviceaccount="$NAMESPACE":"$SERVICE_ACCOUNT_NAME"
kubectl create clusterrole list-pod-clusterrole \
     --verb=list \
     --resource=pods

TOKEN=`kubectl get secrets $(kubectl get sa $SERVICE_ACCOUNT_NAME -o json | jq -r '.secrets[].name') -o json | jq -r '.data.token' | base64 -d`

# Expected it will fail but it doesn't because it uses the admin credentials
kubectl get secrets --token $TOKEN

Run Code Online (Sandbox Code Playgroud)

该令牌有权列出 pod，因此我预计kubectl get secrets --token $TOKEN会失败，但事实并非如此，因为它仍然使用管理员的上下文。

我不创建新的上下文，我知道kubectl有能力使用不记名令牌并且想了解如何做到这一点。

我也尝试过这个kubectl get secrets --insecure-skip-tls-verify --server https://<master_ip>:6443 --token $TOKEN，但也没有返回Forbidden结果。

如果你测试它，你可以使用 katacoda：
https://www.katacoda.com/courses/kubernetes/playground

编辑：

我尝试用这个创建上下文：

NAMESPACE="default"
SERVICE_ACCOUNT_NAME="sa1"
CONTEXT_NAME="sa1-context"
USER_NAME="sa1-username"
CLUSTER_NAME="kubernetes"

kubectl create sa "$SERVICE_ACCOUNT_NAME" -n "$NAMESPACE"
SECRET_NAME=`kubectl get serviceaccounts $SERVICE_ACCOUNT_NAME -n $NAMESPACE -o json | jq -r '.secrets[].name'`
TOKEN=`kubectl get secrets $SECRET_NAME -n $NAMESPACE -o json | jq -r '.data | .token' | base64 -d`

# Create user with the JWT token of the service account
echo "[*] Setting credentials for user: $USER_NAME"
kubectl config set-credentials $USER_NAME --token=$TOKEN

# Makue sure the cluster name is correct !!!
echo "[*] Setting context: $CONTEXT_NAME"
kubectl config set-context $CONTEXT_NAME \
--cluster=$CLUSTER_NAME \
--namespace=$NAMESPACE \
--user=$USER_NAME

Run Code Online (Sandbox Code Playgroud)

但当我尝试时，kubectl get secrets --context $CONTEXT_NAME它仍然成功，并且应该失败，因为它没有这样做的权限。

编辑 2：
基于kubectl API正确运行它的选项：

kubectl get pods --token `cat /home/natan/token` -s https://<ip>:8443 --certificate-authority /root/.minikube/ca.crt --all-namespaces

Run Code Online (Sandbox Code Playgroud)

或者没有 TLS：

kubectl get pods --token `cat /home/natan/token` -s https://<ip>:8443 --insecure-skip-tls-verify --all-namespaces

Run Code Online (Sandbox Code Playgroud)

Answer 1

Arg*_*dhu 5

这很棘手，因为如果您使用客户端证书对 kubernetes API 服务器进行身份验证，则使用 kubectl 覆盖令牌将不起作用，因为使用证书的身份验证发生在 TLS 握手过程的早期。即使您在 kubectl 中提供令牌，它也会被忽略。这就是您能够获取机密的原因，因为客户端证书有权获取机密并且令牌被忽略。

因此，如果您想使用 kubectl 令牌，kubeconfig 文件不应具有客户端证书，然后您可以使用--tokenKubectl 中的标志覆盖该令牌。请参阅问题中的讨论中有关如何为服务帐户令牌创建 kubeconfig 文件的

您还可以使用命令查看 kubectl 命令中发送的承载令牌

kubectl get pods --v=10 2>&1 | grep -i bearer

Run Code Online (Sandbox Code Playgroud)

归档时间：	5 年，8 月前
查看次数：	12705 次
最近记录：	3 年，2 月前