在 .NET8 中获取 k8s 集群的 namespace id

将程序和机器进行绑定是一种 License 校验的方法，需要能获取到机器的唯一标识，比如获取机器的 Mac 地址就是获取唯一标识的一种方式，命令如下：

1

ifconfig |egrep 'ether' |awk '{{print $2}}'

但如果程序部署在 k8s 中，每次容器构建，使用上面命令获取的 Mac 地址就会发生变化，我使用 kubesphere 做测试发现的确如此。

那么在 k8s 环境中想要获取唯一标识应该怎么办呢？

思路

1、在 kubesphere 中，通常会以项目来进行组织，kubesphere 中的项目就是 k8s 中的 namespace，可以通过获取 namespace id 的方式来获取唯一标识。

2、.NET8 容器内部需要安装 kubectl 命令。

步骤

1、构建 .NET8 底包镜像，供后面程序使用，Dockerfile 内容如下：

1
2
3
4
5
6
7
8
9
10
11
12
13

FROM mcr.microsoft.com/dotnet/aspnet:8.0
RUN apt-get install -y curl

# 安装 kubectl

RUN curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl" && \

chmod +x kubectl && \

mv kubectl /usr/local/bin/kubectl

# 确保 kubectl 已正确安装
RUN kubectl version --client

在 Dockerfile 所在目录执行下面命令进行镜像构建：

1

docker build -t net8-kube .

2、编写示例程序获取 namespace id，获取 namespace id 的命令如下：

1

kubectl get namespace s2-test -o jsonpath='{.metadata.uid}'

创建一个 .NET8 的 WebAPI 项目，执行上面命令，并将结果输出，代码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

using System.Diagnostics;  
  
var builder = WebApplication.CreateBuilder(args);  
  
builder.Services.AddEndpointsApiExplorer();  
builder.Services.AddSwaggerGen();  
  
var app = builder.Build();  
  
if (app.Environment.IsDevelopment())  
{  
    app.UseSwagger();  
    app.UseSwaggerUI();  
}  
  
app.UseHttpsRedirection();  
  
app.MapGet("/GetNamespaceId", (string name) =>  
    {  
        string result = "id is empty";  
        try  
        {  
            string cmd = "kubectl get namespace "+name+" -o jsonpath='{.metadata.uid}'";  
            result= "id is :"+ExecuteCommand(cmd);  
        }        catch (Exception ex)  
        {            Console.WriteLine(ex.Message);  
        }        return result;  
    })    .WithOpenApi();  
  
app.Run();  
  
  
string ExecuteCommand(string command)  
{  
    var processInfo = new ProcessStartInfo("bash", "-c \"" + command + "\"")  
    {        RedirectStandardOutput = true,  
        RedirectStandardError = true,  
        UseShellExecute = false,  
        CreateNoWindow = true  
    };  
  
    var process = new Process { StartInfo = processInfo };  
    process.Start();  
  
    string output = process.StandardOutput.ReadToEnd();  
    process.WaitForExit();  
    return output.Trim();  
}

3、将程序发布，并在 publish 目录中创建 Dockerfile 文件：

1
2
3
4
5

FROM net8-kube:latest 
COPY . /app  
WORKDIR /app  

ENTRYPOINT ["dotnet", "namespaceid.dll"]

在 publish 目录中执行 docker build -t namespace-id-test . 命令进行测试程序的镜像构建。

4、在 kubesphere 中创建一个 test 项目，在该项目中创建无状态负载部署示例程序，调用程序中的示例接口，发现 namespace id 并没有获取到，日志中有报错信息：

Error from server (Forbidden): namespaces is forbidden: User “system:serviceaccount:test:default” cannot list resource “namespaces” in API group “” at the cluster scope

这个错误表明，当前在容器内执行 kubectl 命令的用户（system:serviceaccount:test:default）没有足够的权限在集群范围内列出命名空间（namespaces）。这个问题通常与 k8s 中的角色绑定（RoleBinding）或集群角色绑定（ClusterRoleBinding）配置有关。

可以使用下面命令来查看对应账户是否有权限：

1

kubectl auth can-i list namespaces --as=system:serviceaccount:test:default

结果返回 yes 说明该 ServiceAccount 有权限，返回 no 说明没有权限。

一种简单的解决方法就是将账户绑定到管理员角色上，命令如下：

1

kubectl create clusterrolebinding test-admin-binding \ --clusterrole=cluster-admin \ --serviceaccount=test:default

但 cluster-admin 权限过大，在生产环境中不太安全，下面是用另一种方法来解决，在服务器中创建一个 namespace_reader.yaml 的文件，内容如下：

1
2
3
4
5
6
7
8
9

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: namespace-reader
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get", "list", "watch"]

使用下面命令执行后就创建了一个名为 namespace-reader 的角色。

1

kubectl apply -f namespace_reader.yaml 

角色创建成功后，就可以将 ServiceAccount 绑定到这个只读角色了，命令如下：

1
2
3

kubectl create clusterrolebinding test-namespace-reader-binding \
--clusterrole=namespace-reader \
--serviceaccount=test:default

5、ServiceAccount 权限绑定后，再调用接口进行测试，会发现已经可以正常获取 namespace id 了。

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议，转载请注明出处。

分享文章