将程序和机器进行绑定是一种 License 校验的方法,需要能获取到机器的唯一标识,比如获取机器的 Mac 地址就是获取唯一标识的一种方式,命令如下:
ifconfig |egrep 'ether' |awk '{{print $2}}'
但如果程序部署在 k8s 中,每次容器构建,使用上面命令获取的 Mac 地址就会发生变化,我使用 kubesphere 做测试发现的确如此。
那么在 k8s 环境中想要获取唯一标识应该怎么办呢?
思路
1、在 kubesphere 中,通常会以项目来进行组织,kubesphere 中的项目就是 k8s 中的 namespace,可以通过获取 namespace id 的方式来获取唯一标识。
2、.NET8 容器内部需要安装 kubectl 命令。
步骤
1、构建 .NET8 底包镜像,供后面程序使用,Dockerfile 内容如下:
FROM mcr.microsoft.com/dotnet/aspnet:8.0
RUN apt-get install -y curl
# 安装 kubectl
RUN curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl" && \
chmod +x kubectl && \
mv kubectl /usr/local/bin/kubectl
# 确保 kubectl 已正确安装
RUN kubectl version --client
在 Dockerfile 所在目录执行下面命令进行镜像构建:
docker build -t net8-kube .
2、编写示例程序获取 namespace id,获取 namespace id 的命令如下:
kubectl get namespace test -o jsonpath='{.metadata.uid}'
创建一个 .NET8 的 WebAPI 项目,执行上面命令,并将结果输出,代码如下:
using System.Diagnostics;
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();
var app = builder.Build();
if (app.Environment.IsDevelopment())
{
app.UseSwagger();
app.UseSwaggerUI();
}
app.UseHttpsRedirection();
app.MapGet("/GetNamespaceId", (string name) =>
{
string result = "id is empty";
try
{
string cmd = "kubectl get namespace "+name+" -o jsonpath='{.metadata.uid}'";
result= "id is :"+ExecuteCommand(cmd);
} catch (Exception ex)
{ Console.WriteLine(ex.Message);
} return result;
}) .WithOpenApi();
app.Run();
string ExecuteCommand(string command)
{
var processInfo = new ProcessStartInfo("bash", "-c \"" + command + "\"")
{ RedirectStandardOutput = true,
RedirectStandardError = true,
UseShellExecute = false,
CreateNoWindow = true
};
var process = new Process { StartInfo = processInfo };
process.Start();
string output = process.StandardOutput.ReadToEnd();
process.WaitForExit();
return output.Trim();
}
3、将程序发布,并在 publish 目录中创建 Dockerfile 文件:
FROM net8-kube:latest
COPY . /app
WORKDIR /app
ENTRYPOINT ["dotnet", "namespaceid.dll"]
在 publish 目录中执行 docker build -t namespace-id-test . 命令进行测试程序的镜像构建。
4、在 kubesphere 中创建一个 test 项目,在该项目中创建无状态负载部署示例程序,调用程序中的示例接口,发现 namespace id 并没有获取到,日志中有报错信息:
Error from server (Forbidden): namespaces is forbidden: User "system:serviceaccount:test:default" cannot list resource "namespaces" in API group "" at the cluster scope
这个错误表明,当前在容器内执行 kubectl 命令的用户(system:serviceaccount:test:default)没有足够的权限在集群范围内列出命名空间(namespaces)。这个问题通常与 k8s 中的角色绑定(RoleBinding)或集群角色绑定(ClusterRoleBinding)配置有关。
可以使用下面命令来查看对应账户是否有权限:
kubectl auth can-i list namespaces --as=system:serviceaccount:test:default
结果返回 yes 说明该 ServiceAccount 有权限,返回 no 说明没有权限。
一种简单的解决方法就是将账户绑定到管理员角色上,命令如下:
kubectl create clusterrolebinding test-admin-binding \ --clusterrole=cluster-admin \ --serviceaccount=test:default
但 cluster-admin 权限过大,在生产环境中不太安全,下面用另一种方法来解决,在服务器中创建一个名位 namespace_reader.yaml 的文件,内容如下:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: namespace-reader
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs: ["get", "list", "watch"]
使用下面命令执行后就创建了一个名为 namespace-reader 的角色。
kubectl apply -f namespace_reader.yaml
角色创建成功后,就可以将 ServiceAccount 绑定到这个只读角色了,命令如下:
kubectl create clusterrolebinding test-namespace-reader-binding \
--clusterrole=namespace-reader \
--serviceaccount=test:default
5、ServiceAccount 权限绑定后,再调用接口进行测试,会发现已经可以正常获取 namespace id 了。