Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetes APIに Pod内からアクセスしてみた

ry
July 27, 2020
Technology
1
950

Kubernetes APIに Pod内からアクセスしてみた

ry

July 27, 2020
Tweet

More Decks by ry

See All by ry
Vault Secrets Operator Tutorial
ry
0
190
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
410
明日から始められるKyvernoを用いたポリシー制御
ry
4
360
CNDT2022 k8snovice Community introduction
ry
0
29
Policy Engine on Kubernetes
ry
1
980
ConfigMap and Secret
ry
0
230
Policy Manager試してみた!
ry
0
250
AKS 101 in Kubernetes Novice Tokyo #1
ry
0
500
meetup_topic__1.pdf
ry
0
610

Other Decks in Technology

See All in Technology
「エンジニアリングで運用を改善する」ためのAmazon CloudWatch活用
mitsuaki96
1
550
1人目QA奮闘記-2023年ver-/QA Engineer's Struggle 2023
mii3king
1
200
Google I:O 2023 Androidの自動テストアップデートまとめ / Google I:O 2023 Android Testing Update Recap
tkmnzm
0
160
個人データの利用に対する許容度に関する社会調査
hiroshinakagawa
0
140
[春のDojo祭り'23] いまからでも遅くない!データベース超入門 ハンズオン編
leekwangsoo1995
1
120
Save the state
keithyokoma
0
200
全AWSエンジニアに捧ぐ、CloudWatch 設計・運用 虎の巻 / CloudWatch design and operation bible
iselegant
24
8.2k
MySQL and Vitess (and Kubernetes) at HubSpot
jfg956
0
120
CyberAgent AI事業本部MLOps研修応用編
nsakki55
35
18k
Amazon EventBridge Schedulerを用いて Amazon QuickSightの運用を改善した話
shogo452
1
210
C# の async/await は実際にどうやって動いているか
nenonaninu
3
9.9k
競プロ作問を支える技術
tsutaj
0
130

Featured

See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.1k
Faster Mobile Websites
deanohume
296
29k
Learning to Love Humans: Emotional Interface Design
aarron
264
38k
In The Pink: A Labor of Love
frogandcode
133
21k
Documentation Writing (for coders)
carmenintech
52
3.1k
A Tale of Four Properties
chriscoyier
149
21k
Unsuck your backbone
ammeep
660
56k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Writing Fast Ruby
sferik
613
58k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k
Done Done
chrislema
178
15k

Transcript

  1. 機密 <会社名> 専用 バージョン 1.0
    Kubernetes APIに
    Pod内からアクセスしてみた

    View Slide

  2. 自己紹介
    ry (@URyo_0213)
    インフラエンジニア
    主な仕事内容:
    - Storageの導入・設定 (+ 自動化)
    - 社内app作成
    - 社内app基盤の運用・管理 (kubernetes with PKS)

    View Slide

  3. 機密 <会社名> 専用 バージョン 1.0
    1. 今日学ぶこと
    2. まず初めに
    3. Practice
    4. まとめ
    Agenda

    View Slide

  4. 今日学ぶこと

    View Slide

  5. 今日学ぶこと
    1 RBACについて
    2 Pod内からKubernetes APIを叩く方法

    View Slide

  6. まず初めに

    View Slide

  7. Kubernetes API
    Kubernetesを操作する際の指示を受け取る口。
    CLIツールである「kubectl」や、yaml形式で書かれた「manifest」
    を用いた先では、このAPIを叩いています。

    View Slide

  8. Kubernetes API へのアクセス
    クライアントからのアクセスが入ると、
    ・Authentication(認証)
    アクセスが許可されているかを判断
    ・Authorization(認可)
    処理の権限を持っているのかを判断
    ・Admission Control(リクエスト制御)
    そのリクエストを受け入れるのかを判断
    Authorization
    Authentication
    Client
    Admission Control
    Excecute

    View Slide

  9. PodからAPIを叩くために必要なもの
    1 Service Account
    2 Role / Cluster Role
    3 Role Binding / Cluster Role Binding

    View Slide

  10. Service Account
    01
    kubernetes内で管理され、認証情報をPodに割り当てるリソース
    特徴:
    ・Nampespaceに紐づく。
    ・1つ1つに「Token」と「証明書」が割り当てられる。
    ・Pod起動時にService Accountを必ず1つ割り当てる必要がある。
     (指定しない場合、default service accountが割り当てられる)

    View Slide

  11. Service Account Token

    View Slide

  12. Service Account Token による認証
    1 HTTPリクエスト時、Service Account tokenをHeaderにいれる
    2 Kubernetesは、どのService Accountを使用しているかを認識
    3 認証をpassする

    View Slide

  13. Service Account による認可 (RBAC)
    Role Role Binding Service Account
    Cluster Role Cluster Role Binding Service Account
    どういった操作を許可するのかを定めた Roleを作成し、Service Accountに対して
    RoleBindingを用いてRoleを紐づけることで権限を管理します。

    View Slide

  14. Role / Cluster Role
    02
    付与する権限を指定するリソース
    Role vs Cluster Role
    ここの違いは、Namespaceを跨げるかどうかです。
    Cluster Roleは、Namespaceを跨いでCluster単位でリクエスト権限を与えることができま
    す。

    View Slide

  15. Role / Cluster Role
    設定フィールド
    rulesにリスト形式で指定。
    基本は以下の3つを指定していく。
    ・apiGroups
    リソースが含まれている APIのグループを指定
    ・resources
    このルールを適用するリソースを指定
    ・verbs
    指定したリソースに対して行う操作を指定
    apiGroups
    resources
    create 作成
    get / list 取得 / 一覧取得
    delete 削除
    update 更新
    patch 一部変更
    watch 変更の追跡
    verbs

    View Slide

  16. Role / Cluster Role
    manifest例
    https://kubernetes.io/docs/reference/access-authn-authz/rbac/#command-line-utilities

    View Slide

  17. Role Binding /
    Cluster Role Binding
    03
    RoleとService Account等を紐付けるリソース。
    Role BindingとCluster Role Bindingの違いは、
    Roleと同様、Namespaceを跨げるかどうかです。

    View Slide

  18. Role Binding /
    Cluster Role Binding
    manifest例

    View Slide

  19. Practice

    View Slide

  20. PodからAPIを叩くまでの準備
    1 Service Account作成
    2 Role / Cluster Role作成
    3 Role Binding / Cluster Role Binding作成
    4 Pod作成
    5 Pod Setup

    View Slide

  21. ちょっとその前に!!
    今回のAPI 検証用のNamespaceを作成します。
    # kubectl create ns apitest

    View Slide

  22. Service Account作成
    $ kubectl create sa admin-sa -n apitest
    $ kubectl get sa -n apitest
    NAME SECRETS AGE
    admin-sa 1 9s
    default 1 6m11s

    View Slide

  23. Cluster Role作成
    $ kubectl apply -f cluster-role.yaml -n apitest
    $ kubectl get clusterrole -n apitest \
    |grep admin-role
    admin-role 98s

    View Slide

  24. Cluster Role Binding作成
    $ kubectl apply -f cluster-role.yaml -n apitest
    $ kubectl get clusterrolebinding -n apitest \
    |grep admin-rolebinding
    admin-rolebinding 63s

    View Slide

  25. Pod作成
    $ kubectl apply -f pod.yaml -n apitest
    $ kubectl get pod -n apitest
    NAME READY STATUS RESTARTS AGE
    nginx 1/1 Running 0 2s

    View Slide

  26. Podの中を見てみる
    Podに接続していきます。
    $ kubectl exec -it nginx -- /bin/bash
    [email protected]:/#

    View Slide

  27. 環境変数
    ・API アクセス先
    KUBERNETES_PORT_443_TCP_ADDR
    KUBERNETES_PORT_443_TCP_PORT

    View Slide

  28. Token
    Service AccountのTokenは
    /var/run/secrets/kubernetes.io/serviceaccount/token
    に格納されています。

    View Slide

  29. ca.crt
    APIにアクセスする際に用いる証明書は
    /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
    に格納されています。

    View Slide

  30. Set up
    APIにアクセスする際に必要なパラメータを環境変数に仕込んでおきます。

    View Slide

  31. Set up
    必要なmoduleをダウンロードしておきます。
    # apt update
    # apt install -y curl
    # apt install -y vim
    APIへアクセスできるか確認してみましょう。
    # curl -H "Authorization: Bearer $TOKEN" --cacert $CACERT https://$k8s/healthz
    ok

    View Slide

  32. Deploymentの作成
    APIに送るjsonファイルを作成しましょう。
    # vi deployment.json

    View Slide

  33. Deploymentの作成
    APIにjsonファイルを送ります。
    # curl -X POST -H "Authorization:Bearer $TOKEN" \
    --cacert $CACERT -H 'Content-Type:application/json' \
    -d @deployment.json https://$k8s/apis/apps/v1/namespaces/apitest/deployments
    apiGroup Namespace resoure

    View Slide

  34. Deploymentの作成
    適切なRBAC設定を行っていない場合、

    View Slide

  35. Deploymentの確認
    別terminalから確認します。
    $ kubectl get pods -n apitest
    NAME READY STATUS RESTARTS AGE
    apitest-nginx-78478c4bdc-27v7p 1/1 Running 0 50s
    apitest-nginx-78478c4bdc-v4fsl 1/1 Running 0 50s
    apitest-nginx-78478c4bdc-wjzn9 1/1 Running 0 50s
    nginx 1/1 Running 0 55m

    View Slide

  36. Deploymentの確認
    APIからも確認できます。
    # curl -X GET -H "Authorization:Bearer $TOKEN" \
    --cacert $CACERT \
    https://$k8s/apis/apps/v1/namespaces/apitest/deployments/apitest-nginx

    View Slide

  37. Deploymentの確認
    APIでの確認結果
    (長いので、途中まで)

    View Slide

  38. Deploymentの削除
    # curl -X DELETE -H "Authorization:Bearer $TOKEN" \
    --cacert $CACERT \
    https://$k8s/apis/apps/v1/namespaces/apitest/deployments/apitest-nginx
    成功時のstdout

    View Slide

  39. まとめ

    View Slide

  40. まとめ
    1 RBACについては以下の3リソースを用いる。
    Service Account, (Cluster)Role, (Cluster)Role Binding
    2 Pod内からは、指定したService Account の情報を使って
    Kubernetes APIを叩くことができる。

    View Slide

  41. Thank you

    View Slide