Kubernetes 集群到 Jumpserver
以下是使用 ServiceAccount Token(令牌) 连接 Kubernetes 集群到 Jumpserver 的 详细分步指南,包括权限配置、Token 获取和常见问题排查。
1. 创建 ServiceAccount 并分配权限
1.1 创建 ServiceAccount
在 Kubernetes 集群中创建一个专用于 Jumpserver 的 ServiceAccount(如 jumpserver-admin):
kubectl create serviceaccount jumpserver-admin -n kube-system
1.2 绑定 ClusterRole(赋予管理员权限)
kubectl create clusterrolebinding jumpserver-admin \--clusterrole=cluster-admin \--serviceaccount=kube-system:jumpserver-admin
-
说明:
-
cluster-admin是 Kubernetes 内置的最高权限角色(生产环境建议按需缩小权限)。 -
如果只需要特定命名空间的权限,改用
RoleBinding和自定义Role。
-
2. 使用 TokenRequest API(推荐新方法)
更现代的方法是直接通过 API 获取 Token:
kubectl create token jumpserver-admin -n kube-system --duration=8760h
-
--duration=8760h设置 Token 有效期(1年),按需调整。
复制输出的 Token,用以下命令测试:
curl -k -H "Authorization: Bearer <粘贴Token>" https://<k8s-api-server>:6443/api/v1/namespaces/default/pods
-
应返回 JSON 格式的 Pod 列表或权限相关信息。
3. 在 Jumpserver 中配置密文
-
进入 Jumpserver:
-
导航到 "凭据管理" → "密文" → 点击 "创建密文"。
-
-
填写密文信息:
-
名称:
k8s-admin-token(自定义) -
密文类型:选择 "令牌"(关键步骤!)
-
密钥:粘贴从步骤 2 复制的 Token。
-
其他字段(如描述)按需填写。
-
-
点击 "提交" 保存。
4. 在 Jumpserver 中添加 Kubernetes 集群
-
进入 Kubernetes 管理:
-
导航到 "Kubernetes" → "集群管理" → 点击 "创建集群"。
-
-
填写集群信息:
-
名称:
prod-cluster(自定义) -
API Server:填写 k8s API 地址,例如:
-
默认端口:
https://<k8s-master-ip>:6443 -
如果通过负载均衡器访问,填写对应的 URL。
-
-
认证方式:选择 "Bearer Token"(或类似选项)。
-
关联密文:选择刚才创建的
k8s-admin-token。 -
其他选项:
-
跳过证书验证:如果使用自签名证书且未上传 CA,勾选此项(仅限测试环境)。
-
集群别名:按需填写(显示在 Web 终端中的名称)。
-
-
-
测试连接:
-
点击 "测试连接",确认返回成功(绿色提示)。
-
-
点击 "提交" 完成配置。
5. 验证连接
-
在 Jumpserver Web 终端访问:
-
登录 Jumpserver 用户账号。
-
进入 "Web 终端" → 选择刚添加的 Kubernetes 集群。
-
执行命令测试(如
kubectl get nodes),应能正常返回节点列表。
-
-
检查权限:
-
执行
kubectl auth can-i --list确认权限符合预期。
-
6. 常见问题排查
问题 1:Token 无效或过期
-
现象:连接测试失败,提示
Unauthorized。 -
解决:
-
重新生成 Token(ServiceAccount 的 Token 默认永久有效,但 Secret 可能被删除)。
-
检查 Secret 是否存在:
kubectl get secret -n kube-system | grep jumpserver-admin
-
问题 2:证书验证失败
-
现象:
x509: certificate signed by unknown authority。 -
解决:
-
方法 1:在 Jumpserver 集群配置中上传 k8s 的 CA 证书(路径通常为
/etc/kubernetes/pki/ca.crt)。 -
方法 2(临时方案):勾选 "跳过证书验证"(不推荐生产环境)。
-
问题 3:网络不通
-
现象:连接超时或
Connection refused。 -
解决:
-
从 Jumpserver 服务器测试网络连通性:
curl -k https://<k8s-api-server>:6443 -
检查 k8s API Server 是否监听正确端口:
netstat -tuln | grep 6443 -
确保防火墙/安全组放行 6443 端口。
-
问题 4:权限不足
-
现象:执行命令时提示
Forbidden。 -
解决:
-
检查 ClusterRoleBinding 是否正确:
kubectl get clusterrolebinding jumpserver-admin -o yaml -
按需调整权限(参考 Kubernetes RBAC 文档)。
-
7. 安全建议
-
最小权限原则:不要滥用
cluster-admin,按需限制权限,例如:# 仅允许读取所有命名空间的 Pod kubectl create clusterrole jumpserver-view --verb=get,list --resource=pods kubectl create clusterrolebinding jumpserver-view --clusterrole=jumpserver-view --serviceaccount=kube-system:jumpserver-admin -
定期轮换 Token:删除旧 Secret 触发自动生成新 Token:
kubectl delete secret <secret-name> -n kube-system -
审计日志:在 Jumpserver 中启用会话录制,定期检查 k8s 的审计日志。
通过以上步骤,你能成功将 Kubernetes 集群集成到 Jumpserver。
相关文章:
Kubernetes 集群到 Jumpserver
以下是使用 ServiceAccount Token(令牌) 连接 Kubernetes 集群到 Jumpserver 的 详细分步指南,包括权限配置、Token 获取和常见问题排查。 1. 创建 ServiceAccount 并分配权限 1.1 创建 ServiceAccount 在 Kubernetes 集群中创建一个专用于…...
View 处理Input事件pipeline)
Android7 Input(十)View 处理Input事件pipeline
概述: 本文主要描述View对InputEvent事件pipeline处理过程。 本文涉及的源码路径 frameworks/base/core/java/android/view/ViewRootImpl.java InputEvent事件处理 View处理input事件是调用doProcessInputEvents方法,如下所示: void doProcessInputEvents() {//…...
图像数据如何表示为概率单纯形
目录 图像数据灰度图像彩色图像概率单纯形条件应用场景 图像数据 图像数据通常由像素值组成,这些像素值可以是灰度值(对于黑白图像)或RGB值(对于彩色图像)。每个像素的值通常在0到255之间。为了将图像数据表示为概率单…...
Service Mesh架构下Java应用实现零信任安全模型)
(11)Service Mesh架构下Java应用实现零信任安全模型
Service Mesh架构下Java应用实现零信任安全模型 📌 TL;DR: 本文详细介绍如何在Service Mesh架构中实现零信任安全模型,包括身份认证、授权控制、加密通信和持续监控四大核心技术,以及与Istio、Envoy等组件的集成方案。 目录 零信任安全模型概述关键技术实现最佳实践Service…...
什么是内网映射?如何将内网ip映射到外网访问?
随着互联网科技和信息技术的快速发展,很多原理及技术开始被应用到互联网信息科技领域,其中内网iP映射就成为非常普通常见的一个操作。那么什么是内网ip映射?如何将内网ip映射到外网? 一、什么是内网ip映射? 简单理解…...
为什么要选择VR看房?VR看房有什么优点?
VR看房:革新传统,重塑体验 在当今社会,虚拟现实(VR)技术正以前所未有的速度渗透到我们生活的各个领域,其中VR看房作为房地产领域的重要创新。本文将讨论为什么要选择VR看房以及VR看房的主要优点࿰…...
linux 串口调试命令 stty
linux 串口调试命令 stty 文章目录 linux 串口调试命令 sttystty 常见命令选项:常用参数:一次性设置串口所有常见参数总结 stty(设置终端行模式)命令是用来配置终端设备(包括串口设备)的输入和输出行为的工…...
C++STL-vector的使用
vector的定义方式 方式1:构造某一个类型的空容器 vector<int> v1;//构造一个int类型的空容器 方式2:构造一个含有n个val的某类型容器 vector<int> v2(10, 2);//构造一个含有10个2的int类型的容器 方式3:拷贝构造某类型容器 …...
图简记。。
模仿: algorithm-journey/src/class059/Code01_CreateGraph.java at main algorithmzuo/algorithm-journey Code01_CreateGraph C语言: #include <stdio.h> #include <stdlib.h> #include <string.h>#define MAXN 11 #define MAX…...
pytorch基本运算-范数
引言 前序学习进程中,已经对pytorch基本运算有了详细探索,文章链接有: 基本运算 广播失效 乘除法和幂运算 hadamard积、点积和矩阵乘法 上述计算都是以pytorch张量为运算元素,这些张量基本上也集中在一维向量和二维矩阵&#x…...
uefi协议设计目的
在EDK2的术语体系中,GUID定义的是协议的标识符,而具体实现的函数集合称为协议的实现。它们是同一协议的不同抽象层次,以下是详细解释: 1. 协议(Protocol)的两层含义 (1) 协议规范(接口定义&am…...
springcloud openfeign 偶现 Caused by: java.net.UnknownHostException
背景 最近查看日志发现某服务偶现Caused by: java.net.UnknownHostException 同时查看eureka的access.log 出现如下异常 10.xxx.xxx.xxx - - [27/May/2025:23:57:29 0800] “PUT /eureka/apps/{appName}/{host}:xxx-job:8082?statusUP&lastDirtyTimestamp1748351637173 H…...
Transformer实战——词嵌入技术详解
Transformer实战——词嵌入技术详解 0. 前言1. 词嵌入基础2. 分布式表示3. 静态嵌入3.1 Word2Vec3.2 GloVe 4. 使用 Gensim 构建词嵌入5. 使用 Gensim 探索嵌入空间6. 动态嵌入小结系列链接 0. 前言 在本节中,我们首先介绍词嵌入的概念,然后介绍两种实现…...
[pdf、epub]300道《软件方法》强化自测题业务建模需求分析共257页(202505更新)
DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 在本账号CSDN资源下载,或者访问链接: http://www.umlchina.com/url/quizad.html 如果需要提取码:umlc 文件夹中的“300道软件方法强化自测题2025…...
Vue3入门指南:从零到精通的快速上手
齐爷学vue3 一、Vue3入门 vite:前端构架工具,构建速度快于webpack。轻量快速、对TS,JSX,CSS开箱即用、按需编译。 创建Vue3工程 1.在想要创建Vue3的位置打开cmd,执行如下命令。 npm create vuelatest 2.功能只选择…...
前端常见错误
1. TypeError: Cannot read property xxx of undefined 错误原因:尝试访问一个 undefined 或 null 对象的属性 / 方法。 示例代码: const user { name: "John" }; console.log(user.address.street); // user.address 为 undefined 解决方…...
吴恩达MCP课程(5):mcp_chatbot_prompt_resource.py
前提条件: 1、吴恩达MCP课程(5):research_server_prompt_resource.py 2、server_config_prompt_resource.json文件 {"mcpServers": {"filesystem": {"command": "npx","args"…...
关于DDOS
DDOS是一门没什么技术含量的东西,其本质而言是通过大量数据报文,发送到目标受害主机IP地址上,导致目标主机无法继续服务(俗称:拒绝服务) DDOS灰产人期望达成的预期目标,几乎都是只要把对面打到 …...
云服务器自带的防御可靠吗
最近有不少朋友问我,云服务器自带的防御靠不靠谱。就拿大厂的云服务器来说,很多都自带5G防御。但这5G防御能力,在如今的网络攻击环境下,真的有些不够看。 如今,网络攻击手段层出不穷,攻击流量更是越来越大。…...
:LeetCode 21. 合并两个有序链表(Merge Two Sorted Lists)详解)
Java详解LeetCode 热题 100(27):LeetCode 21. 合并两个有序链表(Merge Two Sorted Lists)详解
文章目录 1. 题目描述1.1 链表节点定义 2. 理解题目2.1 问题可视化2.2 核心挑战 3. 解法一:迭代法(哨兵节点)3.1 算法思路3.2 Java代码实现3.3 详细执行过程演示3.4 执行结果示例3.5 复杂度分析3.6 优缺点分析 4. 解法二:递归法4.…...
设计模式——抽象工厂设计模式(创建型)
摘要 抽象工厂设计模式是一种创建型设计模式,旨在提供一个接口,用于创建一系列相关或依赖的对象,无需指定具体类。它通过抽象工厂、具体工厂、抽象产品和具体产品等组件构建,相比工厂方法模式,能创建一个产品族。该模…...
基于LocalAI与cpolar技术协同的本地化AI模型部署与远程访问方案解析
文章目录 前言1. Docker部署2. 简单使用演示3. 安装cpolar内网穿透4. 配置公网地址5. 配置固定公网地址前言 各位极客朋友们!今天要向大家推荐一套创新性的本地部署方案——LocalAI技术架构。这款开源工具包能够将普通配置的笔记本电脑转化为具备强大算力的AI工作站,轻松实现…...
)
Linux 云服务器部署 Flask 项目(含后台运行与 systemd 开机自启)
一、准备工作 在开始正式部署之前,请确认以下前提条件已经准备好: 你有一台运行 Linux 系统(CentOS 或 Ubuntu)的服务器; 服务器有公网 IP,本例中使用:111.229.204.102; 你拥有该服务器的管理员权限(可以使用 sudo); 打算使用 Flask 构建一个简单的 Web 接口; 服务…...
霍尔效应传感器的革新突破:铟化铟晶体与结构演进驱动汽车点火系统升级
一、半导体材料革新:铟化铟晶体的电压放大机制 铟化铟(InSb)晶体因其独特的能带结构,成为提升霍尔电压的关键材料。相较于传统硅基材料,其载流子迁移率高出3-5倍,在相同磁场强度下可显著放大霍尔电压。其作…...
无法运用pytorch环境、改环境路径、隔离环境
一.未建虚拟环境时 1.创建新项目后,直接运行是这样的。 2.设置中Virtualenv找不到pytorch环境?因为此时没有创建新虚拟环境。 3.选择conda环境(全局环境)时,是可以下载环境的。 运行结果如下: 是全局环境…...
从0开始学vue:pnpm怎么安装
一、什么是 pnpm? pnpm(Performant npm)是新一代 JavaScript 包管理器,优势包括: 节省磁盘空间:通过硬链接和符号链接实现高效存储安装速度更快:比 npm/yarn 快 2-3 倍内置工作区支持…...
React从基础入门到高级实战:React 实战项目 - 项目二:电商平台前端
React 实战项目:电商平台前端 欢迎来到本 React 开发教程专栏的第 27 篇!在前 26 篇文章中,我们从 React 的基础概念逐步深入到高级技巧,涵盖了组件、状态、路由、性能优化和设计模式等核心知识。这一次,我们将通过一…...
Python 网络编程 -- WebSocket编程
作者主要是为了用python构建实时网络通信程序。 概念性的东西越简单越好理解,因此,下面我从晚上摘抄的概念 我的理解。 什么是网络通信? 更确切地说,网络通信是两台计算机上的两个进程之间的通信。比如,浏览器进程和新浪服务器上的某个Web服务进程在通…...
微信小程序动态组件加载的应用场景与实现方式
动态组件加载的应用场景与实现方式 你提供的代码展示了微信小程序中动态加载组件的方法,但这种方式在实际开发中需要注意使用场景和实现细节。下面我来详细说明如何应用: 应用场景 按需加载组件:在某些条件满足时才加载组件动态配置组件&a…...
人工智能在智能教育中的创新应用与未来趋势
随着人工智能(AI)技术的飞速发展,教育领域正经历着一场深刻的变革。智能教育通过引入AI、物联网(IoT)、大数据和云计算等前沿技术,正在实现教育的个性化、智能化和高效化。本文将探讨人工智能在智能教育中的…...