6

我们正在尝试运行具有三个命名空间的 kubernetes 集群:

  • public包含任何人都可以访问的服务
  • internal包含只能由员工访问的服务
  • engineering包含应该只对开发人员可见的服务

internalengineering命名空间受到相互身份验证的保护,每个都使用不同的证书颁发机构。

我们使用 Traefik 来管理这些服务的入口,但是,按照kubernetes 指南设置 Traefik,授予 Traefik 的每个实例查看所有命名空间的入口的权限。这意味着您可以internal通过在命名空间中运行的 Traefik 实例使用命名空间中的服务public,从而绕过相互身份验证。

我们正在通过在入口上设置主机来解决这个问题,但这意味着入口必须为每个环境单独定义(例如,host: engineering.example.com与 不同host: engineering.staging.example.com)。我们更愿意将主机排除在入口配置之外。

理论上,使用 RBAC,我们应该能够将允许 Traefik 看到的内容限制在它自己的入口中的资源,如本指南中关于 RBAC的建议。

我的理解是它仍然需要 ClusterRole 权限,例如:

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch

但是使用 Role 绑定而不是 ClusterRole 绑定会将这些权限限制为仅给定服务帐户命名空间中的权限。因此,如果服务帐户位于工程命名空间中:

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: traefik-ingress-controller
  namespace: engineering

那么角色绑定将是:

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
  namespace: engineering
roleRef:
  kind: ClusterRole
  apiGroup: rbac.authorization.k8s.io
  name: traefik-ingress-controller
subjects:
- kind: ServiceAccount
  name: traefik-ingress-controller

然后,我们将服务帐户绑定到 Traefik 部署:

---
kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  name: traefik-ingress-controller
  namespace: engineering
spec:
  replicas: 1
  template:
    spec:
      serviceAccountName: traefik-ingress-controller
      ...

我们还根据 kubernetes配置指南在配置中设置命名空间

[kubernetes]
namespaces = ["engineering"]

但是,当 Traefik 启动时,我们会收到错误消息:

E0313 11:15:57.971237 1 reflector.go:199] github.com/containous/traefik/vendor/k8s.io/client-go/tools/cache/reflector.go:94: Failed to list *v1.Endpoints: endpoints is forbidden: User "system:serviceaccount:engineering:traefik-ingress-controller" cannot list endpoints at the cluster scope: Unknown user "system:serviceaccount:engineering:traefik-ingress-controller"

Unknown user很令人困惑,因为这显然是绑定了一个ServiceAccount非用户。此外,我们可以看到ServiceAccount已通过 kubectl 创建。

我在这里有点死胡同。

如何让 Traefik 只在它自己的命名空间中获取 Ingress?

4

1 回答 1

8

当 Traefik 认为没有配置命名空间时,可能会出现此错误;也就是你概述的TOML配置

[kubernetes]
namespaces = ["engineering"]

没有变得有效。

我可以想到两个原因:

  1. 除了 TOML 配置文件,您还--kubernetes向 Traefik 传递了一个命令行参数(通过args部署清单中的条目)。这将禁用该namespaces选项。
  2. 文件未正确挂载到 Deployment,导致默认namespaces值(空列表)生效。为了判断这是否真的如此,我们需要查看您的完整 ConfigMap 以及您的部署清单的相关卷部分。
于 2018-03-13T22:22:17.253 回答