为 Pod 配置服务账号
Kubernetes 为在集群中运行的客户端,或者与集群的控制平面有关系的客户端,提供了两种不同的方式来向 API 服务器进行身份验证。
一个_服务账户_为 Pod 中运行的进程提供身份,并映射到 ServiceAccount 对象。当你向 API 服务器进行身份验证时,你将自己标识为一个特定的_用户_。Kubernetes 承认用户的概念,但是 Kubernetes 本身**不**具有用户 API。
本任务指南是关于 Kubernetes API 中确实存在的 ServiceAccount。本指南向你展示了一些为 Pod 配置 ServiceAccount 的方法。
准备工作
你需要一个 Kubernetes 集群,并且 `kubectl` 命令行工具必须配置为与你的集群通信。建议在至少有两个不充当控制平面主机的节点组成的集群上运行本教程。如果你还没有集群,可以使用 minikube 创建一个,或者使用这些 Kubernetes 在线演练:
使用默认服务账户访问 API 服务器
当 Pod 访问 API 服务器时,Pod 会以特定的 ServiceAccount(例如 `default`)进行身份验证。每个命名空间中始终至少有一个 ServiceAccount。
每个 Kubernetes 命名空间都包含至少一个 ServiceAccount:该命名空间的默认 ServiceAccount,名为 `default`。如果你在创建 Pod 时没有指定 ServiceAccount,Kubernetes 会自动分配该命名空间中名为 `default` 的 ServiceAccount。
你可以获取已创建 Pod 的详细信息。例如:
kubectl get pods/<podname> -o yaml
在输出中,你会看到一个字段 `spec.serviceAccountName`。如果你在创建 Pod 时没有指定,Kubernetes 会自动设置该值。
在 Pod 中运行的应用程序可以使用自动挂载的服务账户凭据访问 Kubernetes API。参阅访问集群以了解更多信息。
当 Pod 以 ServiceAccount 进行身份验证时,其访问级别取决于正在使用的授权插件和策略。
Pod 删除后,API 凭据会自动撤销,即使存在 finalizer 也是如此。具体来说,API 凭据在 Pod 上设置的 `metadata.deletionTimestamp` (删除时间戳通常是接受**删除**请求的时间加上 Pod 的终止宽限期) 后 60 秒撤销。
选择不自动挂载 API 凭据
如果你不希望 kubelet 自动挂载 ServiceAccount 的 API 凭据,你可以选择退出默认行为。你可以通过在 ServiceAccount 上设置 `automountServiceAccountToken: false` 来选择不自动挂载 ServiceAccount 的 API 凭据到 `/var/run/secrets/kubernetes.io/serviceaccount/token`。
例如
apiVersion: v1
kind: ServiceAccount
metadata:
name: build-robot
automountServiceAccountToken: false
...
你也可以选择不为特定 Pod 自动挂载 API 凭据:
apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
serviceAccountName: build-robot
automountServiceAccountToken: false
...
如果 ServiceAccount 和 Pod 的 `spec` 都为 `automountServiceAccountToken` 指定了一个值,则 Pod 的规约优先。
使用多个 ServiceAccount
每个命名空间至少有一个 ServiceAccount:默认的 ServiceAccount 资源,名为 `default`。你可以使用以下命令列出当前命名空间中的所有 ServiceAccount 资源:
kubectl get serviceaccounts
输出类似于:
NAME SECRETS AGE
default 1 1d
你可以像这样创建额外的 ServiceAccount 对象:
kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
name: build-robot
EOF
ServiceAccount 对象的名称必须是有效的 DNS 子域名。
如果你获取服务账户对象的完整转储,像这样:
kubectl get serviceaccounts/build-robot -o yaml
输出类似于:
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: 2019-06-16T00:12:34Z
name: build-robot
namespace: default
resourceVersion: "272500"
uid: 721ab723-13bc-11e5-aec2-42010af0021e
你可以使用授权插件设置服务账户的权限。
要使用非默认服务账户,请将 Pod 的 `spec.serviceAccountName` 字段设置为你要使用的 ServiceAccount 的名称。
你只能在创建 Pod 时或在新的 Pod 模板中设置 `serviceAccountName` 字段。你不能更新已存在的 Pod 的 `.spec.serviceAccountName` 字段。
注意
`.spec.serviceAccount` 字段是 `.spec.serviceAccountName` 的已弃用别名。如果你想从工作负载资源中删除这些字段,请在 Pod 模板上明确地将这两个字段设置为空。清理
如果你尝试从上面的示例中创建 `build-robot` ServiceAccount,可以通过运行以下命令进行清理:
kubectl delete serviceaccount/build-robot
手动为 ServiceAccount 创建 API 令牌
假设你有一个名为“build-robot”的现有服务账户,如前所述。
你可以使用 `kubectl` 获取该 ServiceAccount 的有时效性 API 令牌:
kubectl create token build-robot
该命令的输出是一个令牌,你可以使用它作为该 ServiceAccount 进行身份验证。你可以使用 `kubectl create token` 命令的 `--duration` 命令行参数请求特定的令牌持续时间(发行的令牌的实际持续时间可能更短,甚至可能更长)。
Kubernetes v1.33 [stable] (默认启用:true)使用 `kubectl` v1.31 或更高版本,可以创建直接绑定到节点的 ServiceAccount 令牌:
kubectl create token build-robot --bound-object-kind Node --bound-object-name node-001 --bound-object-uid 123...456
令牌将一直有效,直到过期或关联的节点或服务账户被删除。
注意
Kubernetes v1.22 之前的版本会自动创建用于访问 Kubernetes API 的长期凭据。这种旧机制是基于创建令牌 Secret,然后可以将这些 Secret 挂载到运行中的 Pod。在包括 Kubernetes v1.34 在内的最新版本中,API 凭据通过使用 TokenRequest API 直接获取,并通过投影卷挂载到 Pod 中。通过这种方法获得的令牌具有有限的生命周期,并在挂载它们的 Pod 被删除时自动失效。
你仍然可以手动创建服务账户令牌 Secret;例如,如果你需要一个永不过期的令牌。然而,建议改用 TokenRequest 子资源来获取访问 API 的令牌。
手动创建 ServiceAccount 的长期 API 令牌
如果你想获取 ServiceAccount 的 API 令牌,你可以创建一个带有特殊注解 `kubernetes.io/service-account.name` 的新 Secret。
kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
name: build-robot-secret
annotations:
kubernetes.io/service-account.name: build-robot
type: kubernetes.io/service-account-token
EOF
如果你使用以下命令查看 Secret:
kubectl get secret/build-robot-secret -o yaml
你可以看到 Secret 现在包含“build-robot”ServiceAccount 的 API 令牌。
由于你设置的注解,控制平面会自动为该 ServiceAccount 生成一个令牌,并将其存储在关联的 Secret 中。控制平面还会清理已删除 ServiceAccount 的令牌。
kubectl describe secrets/build-robot-secret
输出类似于:
Name: build-robot-secret
Namespace: default
Labels: <none>
Annotations: kubernetes.io/service-account.name: build-robot
kubernetes.io/service-account.uid: da68f9c6-9d26-11e7-b84e-002dc52800da
Type: kubernetes.io/service-account-token
Data
====
ca.crt: 1338 bytes
namespace: 7 bytes
token: ...
注意
这里省略了 `token` 的内容。
请注意不要在终端/电脑屏幕可能被旁观者看到的地方显示 `kubernetes.io/service-account-token` Secret 的内容。
当你删除一个关联了 Secret 的 ServiceAccount 时,Kubernetes 控制平面会自动从该 Secret 中清理掉长期令牌。
注意
如果你使用以下命令查看 ServiceAccount:
kubectl get serviceaccount build-robot -o yaml
你无法在 ServiceAccount API 对象的`secrets` 字段中看到 `build-robot-secret` Secret,因为该字段只填充自动生成的 Secret。
向服务账户添加 ImagePullSecrets
首先,创建一个 imagePullSecret。然后,验证它是否已创建。例如:
创建一个 imagePullSecret,如在 Pod 上指定 ImagePullSecrets 中所述。
kubectl create secret docker-registry myregistrykey --docker-server=<registry name> \ --docker-username=DUMMY_USERNAME --docker-password=DUMMY_DOCKER_PASSWORD \ --docker-email=DUMMY_DOCKER_EMAIL验证它是否已创建。
kubectl get secrets myregistrykey输出类似于:
NAME TYPE DATA AGE myregistrykey kubernetes.io/.dockerconfigjson 1 1d
将镜像拉取 Secret 添加到服务账户
接下来,修改命名空间的默认服务账户,以使用此 Secret 作为 imagePullSecret。
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
你可以通过手动编辑对象实现相同的效果:
kubectl edit serviceaccount/default
`sa.yaml` 文件的输出类似于:
你选择的文本编辑器将打开,配置看起来像这样:
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: 2021-07-07T22:02:39Z
name: default
namespace: default
resourceVersion: "243024"
uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6
使用你的编辑器,删除带有键 `resourceVersion` 的行,添加 `imagePullSecrets:` 的行并保存。保持 `uid` 值与你找到的相同。
进行这些更改后,编辑后的 ServiceAccount 看起来像这样:
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: 2021-07-07T22:02:39Z
name: default
namespace: default
uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6
imagePullSecrets:
- name: myregistrykey
验证新 Pod 是否已设置 imagePullSecrets
现在,当在当前命名空间中使用默认 ServiceAccount 创建新 Pod 时,新 Pod 的 `spec.imagePullSecrets` 字段会自动设置:
kubectl run nginx --image=<registry name>/nginx --restart=Never
kubectl get pod nginx -o=jsonpath='{.spec.imagePullSecrets[0].name}{"\n"}'
输出为:
myregistrykey
服务账户令牌卷投影
Kubernetes v1.20 [stable]注意
要启用和使用令牌请求投影,你必须为 `kube-apiserver` 指定以下每个命令行参数:
--service-account-issuer- 定义服务账户令牌颁发者的标识符。你可以多次指定 `--service-account-issuer` 参数,这有助于实现颁发者的非破坏性更改。当此标志多次指定时,第一个用于生成令牌,所有其他都用于确定接受哪些颁发者。你必须运行 Kubernetes v1.22 或更高版本才能多次指定 `--service-account-issuer`。
--service-account-key-file- 指定一个文件路径,该文件包含 PEM 编码的 X.509 私钥或公钥(RSA 或 ECDSA),用于验证 ServiceAccount 令牌。指定的文件可以包含多个密钥,并且可以多次指定该标志以使用不同的文件。如果多次指定,Kubernetes API 服务器会将由任何指定密钥签名的令牌视为有效。
--service-account-signing-key-file- 指定一个文件路径,该文件包含服务账户令牌颁发者的当前私钥。颁发者使用此私钥签署颁发的 ID 令牌。
- `--api-audiences`(可省略)
- 定义 ServiceAccount 令牌的受众。ServiceAccount 令牌身份验证器验证用于 API 的令牌是否绑定到这些受众中的至少一个。如果多次指定 `api-audiences`,则 Kubernetes API 服务器将针对任何指定受众的令牌视为有效。如果你指定了 `--service-account-issuer` 命令行参数但未设置 `--api-audiences`,则控制平面默认使用只包含颁发者 URL 的单元素受众列表。
kubelet 还可以将 ServiceAccount 令牌投影到 Pod 中。你可以指定令牌的所需属性,例如受众和有效期。这些属性在默认 ServiceAccount 令牌上是**不可**配置的。当 Pod 或 ServiceAccount 被删除时,令牌也将对 API 失效。
你可以使用名为 `ServiceAccountToken` 的投影卷类型,为 Pod 的 `spec` 配置此行为。
此投影卷中的令牌是一个 JSON Web Token (JWT)。此令牌的 JSON 有效负载遵循定义明确的架构——一个 Pod 绑定令牌的有效负载示例:
{
"aud": [ # matches the requested audiences, or the API server's default audiences when none are explicitly requested
"https://kubernetes.default.svc"
],
"exp": 1731613413,
"iat": 1700077413,
"iss": "https://kubernetes.default.svc", # matches the first value passed to the --service-account-issuer flag
"jti": "ea28ed49-2e11-4280-9ec5-bc3d1d84661a",
"kubernetes.io": {
"namespace": "kube-system",
"node": {
"name": "127.0.0.1",
"uid": "58456cb0-dd00-45ed-b797-5578fdceaced"
},
"pod": {
"name": "coredns-69cbfb9798-jv9gn",
"uid": "778a530c-b3f4-47c0-9cd5-ab018fb64f33"
},
"serviceaccount": {
"name": "coredns",
"uid": "a087d5a0-e1dd-43ec-93ac-f13d89cd13af"
},
"warnafter": 1700081020
},
"nbf": 1700077413,
"sub": "system:serviceaccount:kube-system:coredns"
}
使用服务账户令牌投影启动 Pod
为了向 Pod 提供一个受众为 `vault` 且有效期为两小时的令牌,你可以定义一个类似于以下内容的 Pod 清单:
apiVersion: v1
kind: Pod
metadata:
name: nginx
spec:
containers:
- image: nginx
name: nginx
volumeMounts:
- mountPath: /var/run/secrets/tokens
name: vault-token
serviceAccountName: build-robot
volumes:
- name: vault-token
projected:
sources:
- serviceAccountToken:
path: vault-token
expirationSeconds: 7200
audience: vault
创建 Pod
kubectl create -f https://k8s.io/examples/pods/pod-projected-svc-token.yaml
kubelet 将:代表 Pod 请求并存储令牌;将令牌通过可配置的文件路径提供给 Pod;并在令牌接近过期时刷新它。如果令牌的有效期超过其总生命周期 (TTL) 的 80%,或者令牌超过 24 小时,kubelet 会主动请求轮换令牌。
应用程序负责在令牌轮换时重新加载令牌。对于应用程序来说,按计划加载令牌(例如:每 5 分钟一次),而不跟踪实际过期时间,通常就足够了。
服务账户颁发者发现
Kubernetes v1.21 [stable]如果已在集群中为 ServiceAccount 启用了令牌投影,那么你还可以使用发现功能。Kubernetes 提供了一种客户端作为_身份提供者_进行联邦的方式,以便一个或多个外部系统可以充当_依赖方_。
注意
颁发者 URL 必须符合 OIDC 发现规范。实际上,这意味着它必须使用 `https` 方案,并且应在 `{service-account-issuer}/.well-known/openid-configuration` 提供 OpenID 提供者配置。
如果 URL 不符合要求,则 ServiceAccount 颁发者发现端点将不会注册或无法访问。
启用后,Kubernetes API 服务器通过 HTTP 发布 OpenID Provider Configuration 文档。该配置文档发布在 `/.well-known/openid-configuration`。OpenID Provider Configuration 有时被称为_发现文档_。Kubernetes API 服务器还会通过 HTTP 在 `/openid/v1/jwks` 发布相关的 JSON Web Key Set (JWKS)。
注意
`/.well-known/openid-configuration` 和 `/openid/v1/jwks` 响应设计为与 OIDC 兼容,但并非严格符合 OIDC。这些文档仅包含验证 Kubernetes 服务账户令牌所需的参数。使用 RBAC 的集群包含一个名为 `system:service-account-issuer-discovery` 的默认 ClusterRole。一个默认的 ClusterRoleBinding 将此角色分配给 `system:serviceaccounts` 组,所有 ServiceAccount 都隐式属于该组。这允许在集群上运行的 Pod 通过其挂载的服务账户令牌访问服务账户发现文档。管理员还可以根据其安全要求以及他们打算与之联邦的外部系统,选择将该角色绑定到 `system:authenticated` 或 `system:unauthenticated`。
JWKS 响应包含依赖方可用于验证 Kubernetes 服务账户令牌的公钥。依赖方首先查询 OpenID Provider Configuration,并使用响应中的 `jwks_uri` 字段查找 JWKS。
在许多情况下,Kubernetes API 服务器无法在公共互联网上访问,但用户或服务提供商可以提供从 API 服务器缓存响应的公共端点。在这些情况下,可以通过向 API 服务器传递 `--service-account-jwks-uri` 标志来覆盖 OpenID Provider Configuration 中的 `jwks_uri`,使其指向公共端点,而不是 API 服务器的地址。与颁发者 URL 一样,JWKS URI 要求使用 `https` 方案。
下一步
另请参阅
- 阅读服务账户的集群管理员指南
- 阅读有关 Kubernetes 中的授权
- 阅读有关 Secret
- 或学习使用 Secret 安全分发凭据
- 但也要记住,使用 Secret 进行 ServiceAccount 身份验证已弃用。推荐的替代方案是ServiceAccount 令牌卷投影。
- 阅读有关 投影卷。
- 有关 OIDC 发现的背景知识,请阅读 ServiceAccount 签名密钥检索 Kubernetes 增强提案
- 阅读 OIDC 发现规范