আমি কোনও পড পাত্রে থেকে কুবারনেটস এপিআই কীভাবে অ্যাক্সেস করব?

আমি কার্ল করতে সক্ষম হত

https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1beta3/namespaces/default/

আমার বেস ইউআরএল হিসাবে, তবে কুবারনেটস 0.18.0 এ এটি আমাকে "অননুমোদিত" দেয়। আশ্চর্যের বিষয় হ'ল আমি যদি এপিআই মেশিনের বহিরাগত আইপি ঠিকানা ব্যবহার করি ( http://172.17.8.101:8080/api/v1beta3/namespaces/default/), এটি ঠিক কাজ করে।

অফিসিয়াল ডকুমেন্টেশনে আমি এটি পেয়েছি:

https://kubernetes.io/docs/tasks/access-application-cluster/access-cluster/#accessing-the-api-from-a-pod

স্পষ্টতই আমি একটি সুরক্ষা টোকেন নিখোঁজ ছিল যা কুবারনেটসের আগের সংস্করণে আমার দরকার নেই। সেখান থেকে, আমি আমার ধারকটিতে প্রক্সি চালানো বা গোলং ইনস্টল করার চেয়ে সহজ সমাধান হিসাবে আমি কী ধারণা করি তা তৈরি করেছি। বর্তমান কন্টেইনারটির জন্য এপিআই থেকে প্রাপ্ত তথ্যটি এই উদাহরণটি দেখুন:

KUBE_TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
curl -sSk -H "Authorization: Bearer $KUBE_TOKEN" \
      https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME

ব্যাশ স্ক্রিপ্টগুলিতে ব্যবহারের জন্য জেসনকে পার্স করার জন্য আমি একটি সাধারণ বাইনারি, জেকিউ ( http://stedolan.github.io/jq/download/ ) অন্তর্ভুক্ত ব্যবহার করি ।

প্রতিটি পডের একটি পরিষেবা অ্যাকাউন্ট স্বয়ংক্রিয়ভাবে প্রয়োগ হয় যা এটি এপিএসবারে অ্যাক্সেস করতে দেয়। পরিষেবা অ্যাকাউন্ট উভয় ক্লায়েন্ট শংসাপত্র সরবরাহ করে, একটি বহনকারী টোকেন আকারে এবং শংসাপত্র কর্তৃপক্ষের শংসাপত্র যা এপিএসভারের দ্বারা উপস্থাপিত শংসাপত্রটিতে স্বাক্ষর করতে ব্যবহৃত হয়েছিল। এই দুটি টুকরো তথ্যের সাহায্যে, আপনি curl -k(ওরফে curl --insecure) ব্যবহার না করে এপিএসভারের সাথে একটি সুরক্ষিত, প্রমাণীকৃত সংযোগ তৈরি করতে পারেন :

curl -v --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://kubernetes.default.svc/

পাইথন কুবারনেটস ক্লায়েন্ট ব্যবহার করে ..

from kubernetes import client, config

config.load_incluster_config()
v1_core = client.CoreV1Api()

উইজেট সংস্করণ:

KUBE_TOKEN=$(</var/run/secrets/kubernetes.io/serviceaccount/token)    
wget -vO- --ca-certificate /var/run/secrets/kubernetes.io/serviceaccount/ca.crt  --header "Authorization: Bearer $KUBE_TOKEN" https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME

ইতিমধ্যে উল্লিখিত বিবরণগুলির মধ্যে সর্বাধিক গুরুত্বপূর্ণ সংযোজনটি হ'ল আপনি যে পোড থেকে API সার্ভারটি অ্যাক্সেস করার চেষ্টা করছেন তার আরবিএসি ক্ষমতা থাকা উচিত।

কে 8 এস সিস্টেমে প্রতিটি সত্তা পরিষেবা-অ্যাকাউন্ট (ব্যবহারকারীদের জন্য ব্যবহারকারীর অ্যাকাউন্ট হিসাবে) দ্বারা চিহ্নিত করা হয়। আরবিএসি সক্ষমতার উপর ভিত্তি করে, পরিষেবা অ্যাকাউন্ট টোকেন (/var/run/secrets/kubernetes.io/serviceaccount/token) জনবসতিযুক্ত। কিউবে-এপি-বাইন্ডিংগুলি (যেমন পাইক्यूब) কুব-এপি-সার্ভারগুলির সাথে সংযোগ তৈরি করার সময় এই টোকনটিকে একটি ইনপুট হিসাবে নিতে পারে। পোডের সঠিক আরবিএসি ক্ষমতা থাকলে, পোড কুবে-এপি সার্ভারের সাথে সংযোগ স্থাপন করতে সক্ষম হবে।

গো কোড ব্যবহার করে কোনও পডের ভেতর থেকে এপিআই অ্যাক্সেস করার চেষ্টা করার সময় আমি এই সমস্যার মধ্যে পড়েছিলাম। নীচে আমি সেই কাজটি করার জন্য যা বাস্তবায়িত করেছি তা যদি কেউ এই প্রশ্নটিও আসে যে গো ব্যবহার করতে চাইছে across

উদাহরণটিতে একটি পড সংস্থান ব্যবহার করা হয়েছে, যার জন্য আপনি client-goযদি দেশীয় কুবেরনেটসের সাথে কাজ করে থাকেন তবে আপনার গ্রন্থাগারটি ব্যবহার করা উচিত । এই কোডটি কাস্টম রিসোর্সস ডেফিনেশনগুলির সাথে কাজ করে তাদের জন্য আরও সহায়ক।

serviceHost := os.GetEnv("KUBERNETES_SERVICE_HOST")
servicePort := os.GetEnv("KUBERNETES_SERVICE_PORT")
apiVersion := "v1" // For example
namespace := default // For example
resource := "pod" // For example
httpMethod := http.MethodGet // For Example

url := fmt.Sprintf("https://%s:%s/apis/%s/namespaces/%s/%s", serviceHost, servicePort, apiVersion, namespace, resource)

u, err := url.Parse(url)
if err != nil {
  panic(err)
}
req, err := http.NewRequest(httpMethod, u.String(), bytes.NewBuffer(payload))
if err != nil {
    return err
}

caToken, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/token")
if err != nil {
    panic(err) // cannot find token file
}

req.Header.Set("Content-Type", "application/json")
req.Header.Set("Authorization", fmt.Sprintf("Bearer %s", string(caToken)))

caCertPool := x509.NewCertPool()
caCert, err := ioutil.ReadFile("/var/run/secrets/kubernetes.io/serviceaccount/ca.crt")
if err != nil {
    return panic(err) // Can't find cert file
}
caCertPool.AppendCertsFromPEM(caCert)

client := &http.Client{
  Transport: &http.Transport{
    TLSClientConfig: &tls.Config{
        RootCAs: caCertPool,
    },
  },
}

resp, err := client.Do(req)
if err != nil {
    log.Printf("sending helm deploy payload failed: %s", err.Error())
    return err
}
defer resp.Body.Close()

// Check resp.StatusCode
// Check resp.Status

পোডের অভ্যন্তর থেকে, কুবারনেটস এপিআই সার্ভারটি " https: //kubernetes.default " এ সরাসরি অ্যাক্সেসযোগ্য । ডিফল্টরূপে এটি এপিআই সার্ভার অ্যাক্সেসের জন্য "ডিফল্ট পরিষেবা অ্যাকাউন্ট" ব্যবহার করে।

সুতরাং, এপিআই সার্ভারের সাথে প্রমাণীকরণের জন্য আমাদের একটি "সিএ সার্ট" এবং "ডিফল্ট পরিষেবা অ্যাকাউন্ট টোকেন "ও পাস করতে হবে।

শংসাপত্র ফাইলটি শুঁটির ভিতরে নিম্নলিখিত স্থানে সংরক্ষণ করা হয়: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

এবং ডিফল্ট পরিষেবা অ্যাকাউন্ট টোকেন: /var/run/secrets/kubernetes.io/serviceaccount/token

আপনি নোডেজ কুবারনেটস গডাডি ক্লায়েন্ট ব্যবহার করতে পারেন ।

let getRequestInfo = () => {
    return {
        url: "https://kubernetes.default",
        ca:   fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/ca.crt').toString(),
        auth: {
            bearer: fs.readFileSync('/var/run/secrets/kubernetes.io/serviceaccount/token').toString(),
        },
        timeout: 1500
    };
}

let initK8objs = () =>{
    k8obj = getRequestInfo();
    k8score = new Api.Core(k8obj),
    k8s = new Api.Api(k8obj);
}

আমার জিকেকে তে একইরকম লেখক সমস্যা ছিল যেখানে পাইথন স্ক্রিপ্টগুলি হঠাৎ ব্যতিক্রম ছুঁড়ে ফেলেছে। আমার জন্য যে সমাধানটি কাজ করেছিল তা হ'ল ভুট্টার মাধ্যমে শুঁটি অনুমতি দেওয়া

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: fabric8-rbac
subjects:
  - kind: ServiceAccount
  # Reference to upper's `metadata.name`
  name: default
  # Reference to upper's `metadata.namespace`
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

আরও তথ্যের জন্য লিঙ্ক বিবরণ এখানে লিখুন

যে কেউ গুগল কনটেইনার ইঞ্জিন ব্যবহার করছে (কুবারনেটস দ্বারা চালিত):

জাভা কাজের জন্য এই কুবেরনেট ক্লায়েন্টটিhttps://kubernetes ব্যবহার করে ক্লাস্টারের মধ্যে থেকে একটি সাধারণ কল ।

আরবিএসি সক্ষম থাকলে ডিফল্ট পরিষেবা অ্যাকাউন্টে কোনও অনুমতি নেই।

আপনার প্রয়োজনের জন্য পৃথক পরিষেবা অ্যাকাউন্ট তৈরি করা ভাল এবং আপনার পোড তৈরি করতে এটি ব্যবহার করুন।

spec:
  serviceAccountName: secret-access-sa
  containers:
    ...

এটা ভাল এখানে ব্যাখ্যা হচ্ছে https://developer.ibm.com/recipes/tutorials/service-accounts-and-auditing-in-kubernetes/

curl -v -cacert <path to>/ca.crt --cert <path to>/kubernetes-node.crt --key <path to>/kubernetes-node.key https://<ip:port>

আমার কে 8 এস সংস্করণটি 1.2.0, এবং অন্যান্য সংস্করণগুলিতে এটি খুব বেশি কাজ করার কথা work ^ ^

This is from the কুবেরনেটস অ্যাকশন book.

আপনার প্রমাণীকরণের যত্ন নেওয়া দরকার । এপিআই সার্ভার নিজেই বলেছে যে আপনি এটি অ্যাক্সেসের জন্য অনুমোদিত নন, কারণ এটি জানেন না যে আপনি কে ।

প্রমাণীকরণের জন্য আপনার একটি প্রমাণীকরণ টোকেন দরকার । ভাগ্যক্রমে, টোকেনটি পূর্বনির্ধারিত ডিফল্ট-টোকেন সিক্রেটের মাধ্যমে সরবরাহ করা হয় এবং গোপন ভলিউমে টোকেন ফাইলে সংরক্ষণ করা হয়।

আপনি API সার্ভার অ্যাক্সেস করতে টোকেন ব্যবহার করতে যাচ্ছেন । প্রথমে টোকনকে পরিবেশের পরিবর্তনশীলে লোড করুন:

root@myhome:/# TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

টোকেন এখন মধ্যে সংরক্ষিত হয় টোকেনটি পরিবেশ পরিবর্তনশীল । আপনি এপিআই সার্ভারে অনুরোধগুলি প্রেরণ করার সময় এটি ব্যবহার করতে পারেন:

root@curl:/# curl -H "Authorization: Bearer $TOKEN"  https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/namespaces/default/pods/$HOSTNAME
   {  "paths": 
      [    
        "/api",    
        "/api/v1",   
        "/apis",    
        "/apis/apps",    
        "/apis/apps/v1beta1",    
        "/apis/authorization.k8s.io",        
         ...    
        "/ui/",    
        "/version"  
      ]
  }