创建k8s账号与RBAC授权使用

于 2023-12-16 09:00:00 发布
阅读量285 收藏
点赞数 11
文章标签: java 开发语言 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79538834/article/details/135023776
版权 

创建账号
1、创建私钥


[root@kub-k8s-master ~]# (umask 077; openssl genrsa -out soso.key 2048)
Generating RSA private key, 2048 bit long modulus
...............................+++
..........................+++
e is 65537 (0x10001)
​
用此私钥创建一个csr(证书签名请求)文件


[root@kub-k8s-master ~]# openssl  req -new -key soso.key -out soso.csr -subj  
"/CN=soso" # 这个地方是用户名
​
拿着私钥和请求文件生成证书


[root@kub-k8s-master ~]# openssl x509 -req -in soso.csr -CA  /etc/kubernetes/pki/ca.crt  -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out soso.crt -days 365
Signature ok
subject=/CN=soso
Getting CA Private Key
​
生成账号


[root@kub-k8s-master ~]# kubectl config set-credentials soso --client-certificate=soso.crt --client-key=soso.key --embed-certs=true
User "soso" set.
​
3、设置上下文环境--指的是创建这个账号的环境在当前名称空间中


[root@kub-k8s-master ~]# kubectl config set-context soso@kubernetes --cluster=kubernetes --user=soso
Context "soso@kubernetes" created.
查看当前的工作上下文


[root@kub-k8s-master ~]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.96.10:6443
....
4、切换用户(切换上下文)


[root@kub-k8s-master ~]# kubectl  config use-context soso@kubernetes
Switched to context "soso@kubernetes".
验证是否已经切换到了新的上下文


[root@kub-k8s-master ~]# kubectl config current-context
soso@kubernetes
5.测试(还未赋予权限)

[root@kub-k8s-master ~]# kubectl  get pod
Error from server (Forbidden): pods is forbidden: User "soso" cannot list resource "pods" in API group "" in the namespace "default"
创建一个角色(role)---设置权限
1.切回管理帐号先


[root@kub-k8s-master ~]# kubectl  config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
​
创建角色(命令):


[root@kub-k8s-master ~]# kubectl  create role  role-reader  --verb=get,list,watch --resource=pod,svc
role.rbac.authorization.k8s.io/role-reader created
--verb: 相当于是权限
--resource:给什么资源使用
​
yaml文件方式:


[root@kub-k8s-master ~]# vim role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
 name: role-reader
rules: #定义规则
 - apiGroups: [""]  #表示当前pod使用核心的APIserver组,默认用""表示就可以
   resources: ["pods","svc"]
   verbs: ["get", "list", "watch", "create", "update", "delete"] #["*"]表示所有权限
[root@kub-k8s-master ~]# kubectl apply -f role.yaml 
role.rbac.authorization.k8s.io/role-reader created
​
[root@kub-k8s-master ~]# kubectl get roles
NAME          AGE
role-reader   30s
​
[root@kub-k8s-master ~]# kubectl describe role role-reader
Name:         role-reader
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"rbac.authorization.k8s.io/v1beta1","kind":"Role","metadata":{"annotations":{},"name":"role-reader","namespace":"default"},"...
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get list watch create update delete]
  svc        []                 []              [get list watch create update delete]
​
2.绑定用户soso(上面创建的用户),绑定用户到role-reader


[root@kub-k8s-master ~]# kubectl  create  rolebinding myrole-binding  --role=role-reader  --user=soso
rolebinding.rbac.authorization.k8s.io/myrole-binding created
​
yaml文件方式:


[root@k8s-master ~]# vim role-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
 name: myrolebind
subjects:  #定义对那个主体进行操作,有三种Subjects:Service Account、User Account、Groups
- kind: User
  name: soso
  apiGroup: rbac.authorization.k8s.io
roleRef:  #定义使用哪个角色
  kind: Role
  name: role-reader
  apiGroup: rbac.authorization.k8s.io
[root@k8s-master ~]# kubectl apply -f role-binding.yaml 
rolebinding.rbac.authorization.k8s.io/myrolebind created
​
[root@k8s-master ~]# kubectl get rolebinding 
NAME         AGE
myrolebind   25s
​
3.切换用户


[root@kub-k8s-master ~]# kubectl  config use-context soso@kubernetes
Switched to context "soso@kubernetes".
​
4.查看权限(只授权了default名称空间pod和svc的get,list,watch权限)


[root@kub-k8s-master ~]# kubectl  get pod
NAME                    READY   STATUS    RESTARTS   AGE
lifecycle-demo          1/1     Running   1          22h
mypod                   1/1     Running   0          8h
nginx-configmap         1/1     Running   0          4h29m
nginx-pod               1/1     Running   0          39m
[root@kub-k8s-master ~]#  kubectl  get pod -n kube-system  #无权访问kube-system
Error from server (Forbidden): pods is forbidden: User "soso" cannot list resource "pods" in API group "" in the namespace "kube-system"
​
[root@kub-k8s-master ~]# kubectl  delete pod nginx-pod   #无权限删除
Error from server (Forbidden): pods "nginx-pod" is forbidden: User "soso" cannot delete resource "pods" in API group "" in the namespace "default"
​
5.切换用户


[root@kub-k8s-master ~]# kubectl  config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
​
​
​
实验二,绑定用户到集群角色
​
6.删除soso账号之前绑定的rolebinding


[root@kub-k8s-master ~]# kubectl  delete rolebinding myrolebind
rolebinding.rbac.authorization.k8s.io "myrolebind" deleted
​
7.创建clusterrole #可以访问全部的namespace


[root@kub-k8s-master ~]# kubectl create clusterrole myclusterrole --verb=get,list,watch --resource=pod,svc
clusterrole.rbac.authorization.k8s.io/myclusterrole created
​
yaml文件方式:


[root@kub-k8s-master ~]# vim clusterrole.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: myclusterrole
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch
[root@kub-k8s-master ~]# kubectl apply -f clusterrole.yaml
[root@kub-k8s-master ~]# kubectl get clusterrole
​
8.绑定集群角色到用户soso


[root@kub-k8s-master ~]# kubectl  create clusterrolebinding my-cluster-rolebinding   --clusterrole=myclusterrole --user=soso
clusterrolebinding.rbac.authorization.k8s.io/my-cluster-rolebinding created
​
yaml文件方式:


[root@kub-k8s-master ~]# vim clusterrolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: my-cluster-rolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: soso
[root@kub-k8s-master ~]# kubectl apply -f clusterrolebinding.yaml
[root@kub-k8s-master ~]# kubectl get clusterrolebinding
​
9.切换账号


[root@kub-k8s-master ~]# kubectl  config use-context soso@kubernetes
Switched to context "soso@kubernetes".
​
10.查看权限 查看kube-system空间的pod


[root@kub-k8s-master ~]# kubectl  get pod -n kube-system
NAME                                     READY   STATUS    RESTARTS   AGE
coredns-5644d7b6d9-sm8hs                 1/1     Running   0          5d
coredns-5644d7b6d9-vddll                 1/1     Running   0          5d
etcd-kub-k8s-master                      1/1     Running   0          5d
... 
​
注意:11.切换为管理员用户

[root@kub-k8s-master ~]# kubectl  config use-context kubernetes-admin@kubernetes
宇博士
关注
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2086
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
K8S创建用户账号User Account并赋予权限
最新发布
weixin_44207346的博客
06-12 561
【代码】K8S创建用户账号User Account并赋予权限。
如何创建一个用户、授权操作k8s集群的过程?
Free雅轩的博客
06-24 1106
本篇带给大家如何创建一个用户、授权操作k8s集群的过程。希望对你有所帮助! 背景 172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。 创建访问architechure命名空间的用户 1.给用户devops 创建一个私钥 opensslgenrsa-outdevops.key2048 2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组) opens...
K8S 创建 RBAC
一直被模仿,从未被超越
03-14 938
RBAC基于角色的访问控制--全拼 Role-Based Access Control 一、创建 K8S 账号、 1、创建证书 # 创建私钥 openssl genrsa -out tom.key 2048 # 用此私钥创建一个csr(证书签名请求)文件 openssl req -new -key tom.key -subj "/CN=tom" -out tom.csr # 拿着私钥和请求文件生成证书 openssl x509 -req -in tom.csr -CA /etc/kubern.
如何切换用户管理kubernetes集群
m0_63190689的博客
01-03 614
关于kuberntes 切换用户管理的相关信息 欢迎一起探讨学习
k8s,盘他!k8s的安全机制与RBAC使用方法
CN_TangZheng的博客
05-21 1256
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
k8sRBAC授权模式
weixin_37337210的博客
01-13 1074
导读 上一篇说了k8s授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
编写 sa.yaml,创建名称为 nfs-provisioner 的 SA 账号。 编写 rbac.yaml ,对创建的 sa 账号进行 RBAC 授权,基于 yaml 文件创建完成后使用命 令分别查看 sa 账号rbac 授权信息
06-07
4. 使用 kubectl 命令创建 rbac 授权: ``` kubectl apply -f rbac.yaml ``` 5. 使用 kubectl 命令查看 sa 账号信息: ``` kubectl get sa ``` 6. 使用 kubectl 命令查看 rbac 授权信息: ``` kubectl describe...
kubectl-k8s用户切换
qq522044637的博客
03-08 1098
k8s用户切换
k8s中,怎么在container中切换角色
班门弄斧
12-21 1425
工作中,需要在k8s中调试container,但是container中有可能很多东西又没有,比如vim等,没有就无法修改代码,想使用su 更改为root用户又不知道密码。可以使用以下方法。 直接修改pod的yaml文件 containers: - name: ... image: ... securityContext: runAsUser: 0 这样登录进去就是root角色,0指root用户的uid。在里面就可以安装自己想安装的工具进行调试。 ...
k8s多集群切换:使用kubeconfig文件管理多套kubernetes(k8s)集群
Vic的博客
10-28 2861
在生产环境中可能不止有一套kubernetes(k8s)集群,我们可以使用kubeconfig文件管理多套kubernetes(k8s)集群,使用 kubeconfig 文件,你可以组织集群、用户和命名空间。你还可以定义上下文,以便在集群和命名空间之间快速轻松地切换。关于Kubernetes(k8s)集群的安装部署,可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园。
k8s权限管理
热门推荐
u013289746的博客
07-16 1万+
                            K8s的用户和权限管理K8s的用户和权限管理包括两个方面:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。K8s的认证包含以下3种方式。这3种方式可以同时存在,认证时只按一种即可。证书认证       设置apiserver的启动参数:--client_ca_file=SOMEFIL...
k8s、ServiceAccount权限详解、RBAC 详解(基于角色的访问控制),常用操作指令
mingqing的博客
11-29 4913
文章目录Service Account应用示例RBAC 详解(基于角色的访问控制)创建一个角色(role)---权限实验二常用操作指令 Service Account应用示例 概念图权限关系 我自己的理解就是,Service Account就是pod的权限 1、创建serviceaccount [root@kub-k8s-master ~]# kubectl create serviceaccount mysa serviceaccount/mysa created 2、查看mysa [root@kub
kubernetes 创建RBAC 用户的例子
纵横四海的博客
09-12 2814
创建Service Account vi demo-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system [root@master-47-35 service-account]# kubectl create -f de...
k8s UserAccount权限控制
w01k
05-10 9320
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源:PodsPVConfigMapsDeploymentsNodesSecretsNamespaces资源与api group关联(如pods属于core api group,deployments属于apps api group)。在RBAC中的几个概念:Rule...
k8s创建用户账号——User Account
浅抒流年的博客
01-22 1036
k8s创建用户账号——User Account
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7159
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值