samba-config-kube-pvc

概述和主要用途

samba-config-kube-pvc是一个Golang控制器，用于从Kubernetes PVC（持久卷声明）信息生成Samba配置文件，并支持基于Active Directory组的访问权限控制。该程序通过kubeconfig连接Kubernetes集群，扫描带有特定注解的PVC，提取相关信息（命名空间、PVC名称、卷名称等），结合配置参数从模板生成Samba配置。

核心功能和特性

• Kubernetes PVC扫描：通过kubeconfig或集群内配置连接Kubernetes集群，扫描带有指定注解的PVC
• 基于注解过滤：仅处理包含特定注解（默认cnieg.fr/samba-share）的PVC
• Samba配置生成：根据PVC信息和配置参数，从内置模板生成Samba配置文件（smb.conf）
• 访问控制：支持基于Active Directory组或本地用户的访问权限控制（通过defaultValidUsers参数）
• 文件权限配置：可指定Samba操作文件时使用的默认用户（defaultForceUser）和组（defaultForceGroup）
• 定期监控：可配置定期扫描PVC变化的时间间隔（period参数）
• 灵活部署：支持集群内部署（使用Pod内令牌认证）或外部部署（使用kubeconfig文件）
• 模板自定义：允许通过挂载卷覆盖默认的Samba配置模板

使用场景和适用范围

适用于需要将Kubernetes PVC通过Samba协议共享给用户，并基于Active Directory组进行访问权限控制的场景。例如：

• 企业内部文件共享系统，将Kubernetes存储资源通过Samba提供给用户访问
• 需要动态响应PVC变化的Samba服务，当PVC创建/删除时自动更新共享配置
• 基于角色的访问控制，通过AD组限制不同用户对PVC共享的访问权限

使用方法和配置说明

命令行参数说明

部署要求

1. Docker环境：需安装Docker CE，安装命令：

   curl -fsSL [***] | sudo apt-key add -
   sudo add-apt-repository "deb [arch=amd64] [***] bionic stable"
   sudo apt update
   sudo apt install docker-ce
   

2. Kubernetes权限：需创建具有PVC列表权限的服务账户，可通过以下命令应用Kubernetes角色：

   kubectl apply -f [***]
   

3. kubeconfig文件（外部部署时）：若在集群外部署，需生成kubeconfig文件，命令如下：

   # 替换为实际的Kubernetes API地址
   server=yourkubeapiendpoint
   # 服务账户名称和命名空间
   name=samba-config-kube-pvc
   namespace=default
   
   secret=$(kubectl get sa $name -n $namespace -o jsonpath='{.secrets[0].name}')
   ca=$(kubectl get secret/$secret -n $namespace -o jsonpath='{.data.ca\.crt}')
   token=$(kubectl get secret/$secret -n $namespace -o jsonpath='{.data.token}' | base64 --decode)
   
   echo "
   apiVersion: v1
   kind: Config
   clusters:
   - name: default-cluster
     cluster:
       certificate-authority-data: ${ca}
       server: ${server}
   contexts:
   - name: default-context
     context:
       cluster: default-cluster
       namespace: $namespace
       user: default-user
   current-context: default-context
   users:
   - name: default-user
     user:
       token: ${token}
   " > kubeconfig
   

在Ubuntu Server上使用systemd部署

创建systemd服务文件

创建/etc/systemd/system/samba-config-kube-pvc.service文件，内容如下：

[Unit]
Description=samba-config-kube-pvc
After=docker.service
Requires=docker.service

[Service]
Type=simple
User=root
Group=root
LimitNOFILE=1024

Restart=on-failure
RestartSec=10
startLimitIntervalSec=60
TimeoutStartSec=0
Environment="IMAGE_TAG=v1.0.22"
ExecStartPre=-/usr/bin/docker stop samba-config-kube-pvc
ExecStartPre=-/usr/bin/docker rm samba-config-kube-pvc
ExecStartPre=/usr/bin/docker pull cnieg/samba-config-kube-pvc:${IMAGE_TAG}
ExecStart=/usr/bin/docker run --rm --name samba-config-kube-pvc -v /root/.kube:/.kube -v /etc/samba:/etc/samba cnieg/samba-config-kube-pvc:${IMAGE_TAG} -nfsMountPoint=/mnt/nfs-volumes-kube-server -realm=MYREALM -defaultValidUsers=GG_ADMINS,GG_USERS_WRITE

[Install]
WantedBy=multi-user.target

启用并启动服务

# 启用服务开机自启
systemctl enable samba-config-kube-pvc

# 启动服务
systemctl start samba-config-kube-pvc

自定义Samba配置模板

创建模板目录

mkdir /opt/template-samba-config

修改systemd服务文件

编辑/etc/systemd/system/samba-config-kube-pvc.service，在ExecStart的docker run命令中添加模板卷挂载：

ExecStart=/usr/bin/docker run --rm --name samba-config-kube-pvc -v /root/.kube:/root/.kube -v /etc/samba:/etc/samba -v /opt/template-samba-config:/app/resources/template-samba-config/  cnieg/samba-config-kube-pvc:${IMAGE_TAG} -nfsMountPoint=/mnt/nfs-volumes-kube-server -realm=MYREALM -defaultValidUsers=GG_ADMINS,GG_USERS_WRITE

应用配置变更

# 重新加载systemd配置
systemctl daemon-reload

# 重启服务
systemctl restart samba-config-kube-pvc

现在可以在/opt/template-samba-config/smb.conf.tmpl中添加自定义的Samba配置指令。

更新控制器版本

修改服务文件中的镜像标签

编辑/etc/systemd/system/samba-config-kube-pvc.service，更新IMAGE_TAG的值：

Environment="IMAGE_TAG=v1.0.23"  # 将v1.0.23替换为目标版本

应用更新

# 重新加载systemd配置
systemctl daemon-reload

# 重启服务以拉取新镜像并启动
systemctl restart samba-config-kube-pvc