Kubernetes 1.35集群管理员权限Token获取手册 - wanghongwei

Kubernetes 1.35集群管理员权限Token获取手册

一、核心前提（K8s 1.24+ 关键变化）

K8s 1.24及以上版本（含1.35），ServiceAccount 不再自动生成包含Token的Secret，需手动创建 Secret 关联 ServiceAccount 才能生成可用Token，这是与旧版本的核心区别，也是配置关键。

二、核心思路

创建专属集群管理ServiceAccount → 绑定K8s内置最高权限角色cluster-admin → 手动创建Secret关联ServiceAccount生成Token → 提取可用Token，全程符合K8s 1.35安全规范。

三、分步操作（标准YAML配置方式，推荐生产使用）

步骤1：创建集群管理专用ServiceAccount

1. 创建配置文件 cluster-admin-sa.yaml，内容如下：

apiVersion: v1
kind: ServiceAccount
metadata:name: cluster-admin-sa  # 自定义ServiceAccount名称，便于识别namespace: kube-system  # 建议放置在kube-system命名空间，统一管理

2. 应用配置，创建ServiceAccount：

kubectl apply -f cluster-admin-sa.yaml

步骤2：绑定cluster-admin最高集群权限（核心）

cluster-admin 是K8s内置最高权限集群角色，可操作集群内所有资源，通过ClusterRoleBinding绑定到步骤1创建的ServiceAccount。

1. 创建配置文件 cluster-admin-rb.yaml，内容如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:name: cluster-admin-sa-binding  # 自定义绑定关系名称
subjects:
- kind: ServiceAccount  # 绑定对象类型为ServiceAccountname: cluster-admin-sa          # 关联步骤1创建的ServiceAccount名称namespace: kube-system          # 与ServiceAccount命名空间保持一致
roleRef:kind: ClusterRolename: cluster-admin             # K8s内置集群管理员角色（固定名称）apiGroup: rbac.authorization.k8s.io

2. 应用配置，完成权限绑定：

kubectl apply -f cluster-admin-rb.yaml

步骤3：创建Secret关联ServiceAccount（生成Token）

手动创建指定类型的Secret，通过注解关联目标ServiceAccount，触发Token生成。

1. 创建配置文件 cluster-admin-secret.yaml，内容如下：

apiVersion: v1
kind: Secret
metadata:name: cluster-admin-sa-secret  # 自定义Secret名称namespace: kube-systemannotations:# 核心注解：关联步骤1的ServiceAccount，不可修改kubernetes.io/service-account.name: cluster-admin-sa
type: kubernetes.io/service-account-token  # 必须指定该类型，否则无法生成Token

2. 应用配置，创建Secret：

kubectl apply -f cluster-admin-secret.yaml

步骤4：提取集群管理员Token（最终可用）

执行以下命令，直接提取Base64解码后的Token（无需手动解码，直接可用）：

kubectl -n kube-system get secret cluster-admin-sa-secret -o jsonpath='{.data.token}' | base64 -d && echo

• 成功输出：一串长字符串（格式如 eyJhbGciOiJSUzI1NiIsImtpZCI6Ikxxxxxx），即为集群管理员权限Token。

四、简化操作（一键式命令，无需创建YAML）

若无需留存配置文件，可执行以下一键式命令，直接完成所有资源创建并提取Token：

# 1. 创建ServiceAccount
kubectl create sa cluster-admin-sa -n kube-system# 2. 绑定cluster-admin权限
kubectl create clusterrolebinding cluster-admin-sa-binding --clusterrole=cluster-admin --serviceaccount=kube-system:cluster-admin-sa# 3. 创建关联Secret
kubectl create secret generic cluster-admin-sa-secret -n kube-system --type=kubernetes.io/service-account-token --annotation=kubernetes.io/service-account.name=cluster-admin-sa# 4. 提取Token
kubectl -n kube-system get secret cluster-admin-sa-secret -o jsonpath='{.data.token}' | base64 -d && echo

五、权限验证（确保Token生效）

提取Token后，验证是否具备集群管理员权限，避免配置失效。

1. 配置环境变量（替换为实际的Token和APIServer地址）：

export K8S_TOKEN="提取到的集群管理员Token"
export K8S_API_SERVER="https://你的K8s APIServer地址:6443"

2. 调用APIServer获取集群所有命名空间（管理员权限专属操作）：

curl -k -H "Authorization: Bearer ${K8S_TOKEN}" ${K8S_API_SERVER}/api/v1/namespaces

• 验证成功标志：返回集群所有命名空间的JSON数据，无401（未认证）、403（无权限）报错。

六、安全与有效期说明

1. Token有效期

手动创建的Secret生成的Token 无默认过期时间（长期有效），适合长期运维使用。

2. 安全注意事项（核心）

• 该Token具备集群最高权限，严禁明文存储、公网传输，避免泄露；

• 仅限运维管理场景使用，业务Pod禁止绑定cluster-admin角色；

• 生产环境建议定期轮换Token：删除旧Secret（kubectl delete secret cluster-admin-sa-secret -n kube-system），重新执行创建Secret命令即可生成新Token；

• 可配置NetworkPolicy，限制仅指定IP地址访问K8s APIServer，降低Token滥用风险。

七、Token适用场景

• K8s Dashboard登录认证；

• kubectl命令行Token认证（无需kubeconfig文件）；

• CI/CD工具（如GitLab CI、Jenkins）对接K8s集群；

• 第三方运维平台关联K8s集群；

• K8s API接口调用认证。