在 .NET8 中获取 k8s 集群的 Namespace id-51CTO.COM

将程序和机器进行绑定是一种 License 校验的方法，需要能获取到机器的唯一标识，比如获取机器的 Mac 地址就是获取唯一标识的一种方式，命令如下：

ifconfig |egrep 'ether' |awk '{{print $2}}'1.

但如果程序部署在 k8s 中，每次容器构建，使用上面命令获取的 Mac 地址就会发生变化，我使用 kubesphere 做测试发现的确如此。

那么在 k8s 环境中想要获取唯一标识应该怎么办呢？

思路

在 kubesphere 中，通常会以项目来进行组织，kubesphere 中的项目就是 k8s 中的 namespace，可以通过获取 namespace id 的方式来获取唯一标识。
.NET8 容器内部需要安装 kubectl 命令。

步骤

构建 .NET8 底包镜像，供后面程序使用，Dockerfile 内容如下：

FROM mcr.microsoft.com/dotnet/aspnet:8.0
RUN apt-get install -y curl

# 安装 kubectl

RUN curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl" && \

chmod +x kubectl && \

mv kubectl /usr/local/bin/kubectl

# 确保 kubectl 已正确安装
RUN kubectl version --client1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

在 Dockerfile 所在目录执行下面命令进行镜像构建：

docker build -t net8-kube .1.

编写示例程序获取 namespace id，获取 namespace id 的命令如下：

kubectl get namespace test -o jsonpath='{.metadata.uid}'1.

创建一个 .NET8 的 WebAPI 项目，执行上面命令，并将结果输出，代码如下：

using System.Diagnostics;  
  
var builder = WebApplication.CreateBuilder(args);  
  
builder.Services.AddEndpointsApiExplorer();  
builder.Services.AddSwaggerGen();  
  
var app = builder.Build();  
  
if (app.Environment.IsDevelopment())  
{  
    app.UseSwagger();  
    app.UseSwaggerUI();  
}  
  
app.UseHttpsRedirection();  
  
app.MapGet("/GetNamespaceId", (string name) =>  
    {  
        string result = "id is empty";  
        try  
        {  
            string cmd = "kubectl get namespace "+name+" -o jsonpath='{.metadata.uid}'";  
            result= "id is :"+ExecuteCommand(cmd);  
        }        catch (Exception ex)  
        {            Console.WriteLine(ex.Message);  
        }        return result;  
    })    .WithOpenApi();  
  
app.Run();  
  
  
string ExecuteCommand(string command)  
{  
    var processInfo = new ProcessStartInfo("bash", "-c \"" + command + "\"")  
    {        RedirectStandardOutput = true,  
        RedirectStandardError = true,  
        UseShellExecute = false,  
        CreateNoWindow = true  
    };  
  
    var process = new Process { StartInfo = processInfo };  
    process.Start();  
  
    string output = process.StandardOutput.ReadToEnd();  
    process.WaitForExit();  
    return output.Trim();  
}1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.

将程序发布，并在 publish 目录中创建 Dockerfile 文件：

FROM net8-kube:latest 
COPY . /app  
WORKDIR /app  

ENTRYPOINT ["dotnet", "namespaceid.dll"]1.
2.
3.
4.
5.

在 publish 目录中执行 docker build -t namespace-id-test . 命令进行测试程序的镜像构建。

在 kubesphere 中创建一个 test 项目，在该项目中创建无状态负载部署示例程序，调用程序中的示例接口，发现 namespace id 并没有获取到，日志中有报错信息：

Error from server (Forbidden): namespaces is forbidden: User "system:serviceaccount:test:default" cannot list resource "namespaces" in API group "" at the cluster scope

这个错误表明，当前在容器内执行 kubectl 命令的用户（system:serviceaccount:test:default）没有足够的权限在集群范围内列出命名空间（namespaces）。这个问题通常与 k8s 中的角色绑定（RoleBinding）或集群角色绑定（ClusterRoleBinding）配置有关。

可以使用下面命令来查看对应账户是否有权限：

kubectl auth can-i list namespaces --as=system:serviceaccount:test:default1.

结果返回 yes 说明该 ServiceAccount 有权限，返回 no 说明没有权限。

一种简单的解决方法就是将账户绑定到管理员角色上，命令如下：

kubectl create clusterrolebinding test-admin-binding \ --clusterrole=cluster-admin \ --serviceaccount=test:default1.

但 cluster-admin 权限过大，在生产环境中不太安全，下面用另一种方法来解决，在服务器中创建一个名位 namespace_reader.yaml 的文件，内容如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: namespace-reader
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get", "list", "watch"]1.
2.
3.
4.
5.
6.
7.
8.

使用下面命令执行后就创建了一个名为 namespace-reader 的角色。

kubectl apply -f namespace_reader.yaml1.

角色创建成功后，就可以将 ServiceAccount 绑定到这个只读角色了，命令如下：

kubectl create clusterrolebinding test-namespace-reader-binding \
--clusterrole=namespace-reader \
--serviceaccount=test:default1.
2.
3.

ServiceAccount 权限绑定后，再调用接口进行测试，会发现已经可以正常获取 namespace id 了。