Dav*_*gos 2 kubernetes azure-aks kubernetes-secrets
在 Azure Kubernetes 中,我希望在默认命名空间中有一个包含 jenkins 的 pod,它需要从我的应用程序工作区读取机密。
当我尝试时,出现下一个错误:
Error from server (Forbidden): secrets "myapp-mongodb" is forbidden: User "system:serviceaccount:default:jenkinspod" cannot get resource "secrets" in API group "" in the namespace "myapp"
我如何才能访问此 jenkisn pod 来读取“myapp”命名空间中的秘密
P..*_*... 13
secret是一个命名空间资源,可以通过适当的 rbac 权限进行访问。然而,任何不正确的 rbac 权限都可能导致泄漏。
您必须role bind与 Pod 关联的服务帐户。这是一个完整的例子。在此示例中,我创建了一个用于角色绑定的新服务帐户。service account但是,如果需要,您可以使用默认值。
步骤 1:创建一个名为的命名空间demo-namespace
kubectl create ns demo-namespace
步骤 2:在以下位置创建一个秘密demo-namespace:
kubectl create secret generic other-secret -n demo-namespace --from-literal foo=bar
secret/other-secret created
步骤2:在命名空间中创建服务帐户( my-custom-sa) default。
kubectl create sa my-custom-sa
步骤 3:默认情况下,验证您在上一步中创建的服务帐户无权访问demo-namespace.
kubectl auth can-i get secret -n demo-namespace --as system:serviceaccount:default:my-custom-sa
no
步骤 4:使用命名空间的权限get和list秘密创建集群角色demo-namespace。
kubectl create clusterrole role-for-other-user --verb get,list --resource secret
clusterrole.rbac.authorization.k8s.io/role-for-other-user created
步骤5:创建角色绑定来绑定上一步创建的集群角色。
kubectl create rolebinding role-for-other-user -n demo-namespace --serviceaccount default:my-custom-sa --clusterrole role-for-other-user
rolebinding.rbac.authorization.k8s.io/role-for-other-user created
步骤 6:验证默认 ns 中的服务帐户现在是否可以访问demo-namespace. (注意与步骤3的区别)
kubectl auth can-i get secret -n demo-namespace --as system:serviceaccount:default:my-custom-sa
yes
步骤 7:在默认命名空间中创建一个 pod,并挂载您之前创建的服务帐户。
apiVersion: v1
kind: Pod
metadata:
creationTimestamp: null
labels:
run: my-pod
name: my-pod
spec:
serviceAccountName: my-custom-sa
containers:
- command:
- sleep
- infinity
image: bitnami/kubectl
name: my-pod
resources: {}
dnsPolicy: ClusterFirst
restartPolicy: Always
status: {}
demo-namespace步骤 7:验证您是否可以从默认命名空间中的 pod读取机密。
curl -sSk -H "Authorization: Bearer $(cat /run/secrets/kubernetes.io/serviceaccount/token)" https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/demo-namespace/secrets
{
"kind": "SecretList",
"apiVersion": "v1",
"metadata": {
"resourceVersion": "668709"
},
"items": [
{
"metadata": {
"name": "other-secret",
"namespace": "demo-namespace",
"uid": "5b3b9dba-be5d-48cc-ab16-4e0ceb3d1d72",
"resourceVersion": "662043",
"creationTimestamp": "2022-08-19T14:51:15Z",
"managedFields": [
{
"manager": "kubectl-create",
"operation": "Update",
"apiVersion": "v1",
"time": "2022-08-19T14:51:15Z",
"fieldsType": "FieldsV1",
"fieldsV1": {
"f:data": {
".": {},
"f:foo": {}
},
"f:type": {}
}
}
]
},
"data": {
"foo": "YmFy"
},
"type": "Opaque"
}
]
}
| 归档时间: |
|
| 查看次数: |
4090 次 |
| 最近记录: |