美文网首页
1.24后serviceaccount token如何生成

1.24后serviceaccount token如何生成

作者: wwq2020 | 来源:发表于2023-09-20 17:51 被阅读0次

背景

1.24前sa会自动创建secret,且配置token
1.24后不会,需要手动创建secret,然后token会自动配置

secret要求

data中token不存在或者为空
annotations中kubernetes.io/service-account.name对应的value为serviceaccount的名字,非空且实际存在

相关代码

pkg/controller/serviceaccount/tokens_controller.go中

func (e *TokensController) syncSecret(ctx context.Context) {
    ...
    if retriable, err := e.generateTokenIfNeeded(logger, sa, secret); err != nil {
                logger.Error(err, "Populating serviceaccount token", "secret", klog.KRef(secretInfo.namespace, secretInfo.name), "serviceAccount", klog.KRef(secretInfo.namespace, secretInfo.saName))
                retry = retriable
            }
    ...
}

func (e *TokensController) generateTokenIfNeeded(logger klog.Logger, serviceAccount *v1.ServiceAccount, cachedSecret *v1.Secret) ( /* retry */ bool, error) {
    ...
    needsCA, needsNamespace, needsToken := e.secretUpdateNeeded(liveSecret)
    if !needsCA && !needsToken && !needsNamespace {
        return false, nil
    }
    ...
    if needsToken {
        token, err := e.token.GenerateToken(serviceaccount.LegacyClaims(*serviceAccount, *liveSecret))
        if err != nil {
            return false, err
        }
        liveSecret.Data[v1.ServiceAccountTokenKey] = []byte(token)
    }
    ...
    liveSecret.Annotations[v1.ServiceAccountNameKey] = serviceAccount.Name
    liveSecret.Annotations[v1.ServiceAccountUIDKey] = string(serviceAccount.UID)
    ...
}


func (e *TokensController) secretUpdateNeeded(secret *v1.Secret) (bool, bool, bool) {
    caData := secret.Data[v1.ServiceAccountRootCAKey]
    needsCA := len(e.rootCA) > 0 && !bytes.Equal(caData, e.rootCA)

    needsNamespace := len(secret.Data[v1.ServiceAccountNamespaceKey]) == 0

    tokenData := secret.Data[v1.ServiceAccountTokenKey]
    needsToken := len(tokenData) == 0

    return needsCA, needsNamespace, needsToken
}


func (e *TokensController) queueSecretSync(obj interface{}) {
    if secret, ok := obj.(*v1.Secret); ok {
        e.syncSecretQueue.Add(makeSecretQueueKey(secret))
    }
}

func (e *TokensController) queueSecretUpdateSync(oldObj interface{}, newObj interface{}) {
    if secret, ok := newObj.(*v1.Secret); ok {
        e.syncSecretQueue.Add(makeSecretQueueKey(secret))
    }
}
func makeSecretQueueKey(secret *v1.Secret) interface{} {
    return secretQueueKey{
        namespace: secret.Namespace,
        name:      secret.Name,
        uid:       secret.UID,
        saName:    secret.Annotations[v1.ServiceAccountNameKey],
        saUID:     types.UID(secret.Annotations[v1.ServiceAccountUIDKey]),
    }
}

相关文章

网友评论

      本文标题:1.24后serviceaccount token如何生成

      本文链接:https://www.haomeiwen.com/subject/lakavdtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|1.24后serviceaccount token如何生成|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!