第17章:Kubernetes 认证授权举例

最新推荐文章于 2024-07-23 16:09:21 发布
最新推荐文章于 2024-07-23 16:09:21 发布
阅读量44 收藏
点赞数
分类专栏: Kubernetes学习笔记 文章标签: kubernetes docker 容器 云原生 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Davidwatt/article/details/134564494
版权

目录

第17章:Kubernetes 认证授权举例

客户端访问api-server的标准组成

subjects—>verbs—>objests

  • subjects: user/group/serviceaccount;
  • verbs: get/list/watch/create/patch/delete/deletecollection…
  • objects: resources/resources group/non resource url;

注意事项

注意,这里dashboard是作为一个Pod运行在Kubernetes集群的,因此需要给他提供一个serviceaccount,而不是useraccount,否则会报错显示:“Not enough data to create auth info structure.”。

前置步骤:切换到指定目录下,命令:cd /etc/kubernetes/pki

第一步:部署dashboard

部署Kubernetes dashboard的命令:

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

# Copyright 2017 The Kubernetes Authors.
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: v1
kind: Namespace
metadata:
  name: kubernetes-dashboard

---

apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard

---

kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
spec:
  ports:
    - port: 443
      targetPort: 8443
  selector:
    k8s-app: kubernetes-dashboard

---

apiVersion: v1
kind: Secret
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard-certs
  namespace: kubernetes-dashboard
type: Opaque

---

apiVersion: v1
kind: Secret
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard-csrf
  namespace: kubernetes-dashboard
type: Opaque
data:
  csrf: ""

---

apiVersion: v1
kind: Secret
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard-key-holder
  namespace: kubernetes-dashboard
type: Opaque

---

kind: ConfigMap
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard-settings
  namespace: kubernetes-dashboard

---

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
rules:
  # Allow Dashboard to get, update and delete Dashboard exclusive secrets.
  - apiGroups: [""]
    resources: ["secrets"]
    resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs", "kubernetes-dashboard-csrf"]
    verbs: ["get", "update", "delete"]
    # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map.
  - apiGroups: [""]
    resources: ["configmaps"]
    resourceNames: ["kubernetes-dashboard-settings"]
    verbs: ["get", "update"]
    # Allow Dashboard to get metrics.
  - apiGroups: [""]
    resources: ["services"]
    resourceNames: ["heapster", "dashboard-metrics-scraper"]
    verbs: ["proxy"]
  - apiGroups: [""]
    resources: ["services/proxy"]
    resourceNames: ["heapster", "http:heapster:", "https:heapster:", "dashboard-metrics-scraper", "http:dashboard-metrics-scraper"]
    verbs: ["get"]

---

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
rules:
  # Allow Metrics Scraper to get metrics from the Metrics server
  - apiGroups: ["metrics.k8s.io"]
    resources: ["pods", "nodes"]
    verbs: ["get", "list", "watch"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: kubernetes-dashboard
subjects:
  - kind: ServiceAccount
    name: kubernetes-dashboard
    namespace: kubernetes-dashboard

---

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: kubernetes-dashboard
subjects:
  - kind: ServiceAccount
    name: kubernetes-dashboard
    namespace: kubernetes-dashboard

---

kind: Deployment
apiVersion: apps/v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
spec:
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
    spec:
      securityContext:
        seccompProfile:
          type: RuntimeDefault
      containers:
        - name: kubernetes-dashboard
          image: kubernetesui/dashboard:v2.7.0
          imagePullPolicy: Always
          ports:
            - containerPort: 8443
              protocol: TCP
          args:
            - --auto-generate-certificates
            - --namespace=kubernetes-dashboard
            # Uncomment the following line to manually specify Kubernetes API server Host
            # If not specified, Dashboard will attempt to auto discover the API server and connect
            # to it. Uncomment only if the default does not work.
            # - --apiserver-host=http://my-address:port
          volumeMounts:
            - name: kubernetes-dashboard-certs
              mountPath: /certs
              # Create on-disk volume to store exec logs
            - mountPath: /tmp
              name: tmp-volume
          livenessProbe:
            httpGet:
              scheme: HTTPS
              path: /
              port: 8443
            initialDelaySeconds: 30
            timeoutSeconds: 30
          securityContext:
            allowPrivilegeEscalation: false
            readOnlyRootFilesystem: true
            runAsUser: 1001
            runAsGroup: 2001
      volumes:
        - name: kubernetes-dashboard-certs
          secret:
            secretName: kubernetes-dashboard-certs
        - name: tmp-volume
          emptyDir: {}
      serviceAccountName: kubernetes-dashboard
      nodeSelector:
        "kubernetes.io/os": linux
      # Comment the following tolerations if Dashboard must not be deployed on master
      tolerations:
        - key: node-role.kubernetes.io/master
          effect: NoSchedule

---

kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: dashboard-metrics-scraper
  name: dashboard-metrics-scraper
  namespace: kubernetes-dashboard
spec:
  ports:
    - port: 8000
      targetPort: 8000
  selector:
    k8s-app: dashboard-metrics-scraper

---

kind: Deployment
apiVersion: apps/v1
metadata:
  labels:
    k8s-app: dashboard-metrics-scraper
  name: dashboard-metrics-scraper
  namespace: kubernetes-dashboard
spec:
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      k8s-app: dashboard-metrics-scraper
  template:
    metadata:
      labels:
        k8s-app: dashboard-metrics-scraper
    spec:
      securityContext:
        seccompProfile:
          type: RuntimeDefault
      containers:
        - name: dashboard-metrics-scraper
          image: kubernetesui/metrics-scraper:v1.0.8
          ports:
            - containerPort: 8000
              protocol: TCP
          livenessProbe:
            httpGet:
              scheme: HTTP
              path: /
              port: 8000
            initialDelaySeconds: 30
            timeoutSeconds: 30
          volumeMounts:
          - mountPath: /tmp
            name: tmp-volume
          securityContext:
            allowPrivilegeEscalation: false
            readOnlyRootFilesystem: true
            runAsUser: 1001
            runAsGroup: 2001
      serviceAccountName: kubernetes-dashboard
      nodeSelector:
        "kubernetes.io/os": linux
      # Comment the following tolerations if Dashboard must not be deployed on master
      tolerations:
        - key: node-role.kubernetes.io/master
          effect: NoSchedule
      volumes:
        - name: tmp-volume
          emptyDir: {}

第二步:转换服务访问类型

这里创建的dashboard是clusterip类型的服务,通过patch命令转为nodeport后进行访问,具体命令如下:

kubectl patch svc kubernetes-dashboard -p '{"spec":{"type":"NodePort"}}'

注意应该采用https进行访问,结果如下图所示:

在这里插入图片描述

第三步:认证授权方式-Token或Kubeconfig

认证方式(1):Token(令牌)

  • 令牌(Token)方式

根据管理需要,使用rolebinding或者clusterrolebinding绑定至对应的role或者clusterrole

创建serviceaccount的命令:

kubectl create serviceaccount dashboard-admin -n kube-system

创建clusterrolebinding的命令:

kubectl create clusterrolebinding dashboard-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system.dashboard-admin

获取上面创建的serviceaccount的Secret信息,其中包含登录Token的命令如下:(注意:这里的Secret是上面自动生成的)

kubectl describe secret SECRET_NAME -n kube-system

复制Token粘贴后即可用于登录dashboard;

认证方式(2):Kubeconfig

  • kubeconfig方式(把serviceaccount的Token封装为Kubeconfig文件)

创建serviceaccount的命令:

kubectl create serviceaccount def-ns-sa-admin -n default

创建rolebinding的命令:

kubectl create rolebinding def-ns-rb-admin --clusterrole=admin --serviceaccount=default.def-ns-sa-admin

拿到default命名空间登录Token的命令如下:(注意必定是以def-ns-sa-admin-token开头)

kubectl describe secret SECRET_NAME -n default

配置集群的命令:

kubectl config set-cluster kubernetes --certificate-authority=./ca.crt --server="https://HOST_IP:Port" -embed-certs=true --kubeconfig=/root/def-ns-sa-admin.conf

获取SECRET_NAME的命令:

kubectl get secret | awk '/^SERVICEACCOUNT/{print $1}'

拿到default命名空间登录Token并用base64解码的命令如下:(注意需要以JSON格式输出)

kubectl get secret SECRET_NAME -n default -o jsonpath={.data.token} | base64 -d

设置token变量的命令:

DEF_NS_ADMIN_TOKEN=$(kubectl get secret SECRET_NAME -n default -o jsonpath={.data.token} | base64 -d)

kubectl config set-credentials def-ns-admin --token=$DEF_NS_ADMIN_TOKEN --kubeconfig=/root/def-ns-sa-admin.conf

kubectl config set-context def-ns-admin@kubernetes --cluster=kubernetes --user=def-ns-admin --kubeconfig=/root/def-ns-sa-admin.conf

kubectl config use-context def-ns-admin@kubernetes --kubeconfig=/root/def-ns-sa-admin.conf

把配置文件拷贝到根目录下的命令:

scp root@HOST_IP:/root/def-ns-admin.conf ./

登录Kubernetes dashboard页面,如图所示:
在这里插入图片描述

其他补充

Kubernetes集群的管理方式:

  1. 命令式:create、run、expose、edit、delete……

  2. 命令式配置文件:create -f /PATH/TO/CONFIGURATION_FILE.conf,replace -f,delete -f……

  3. 声明式配置文件:apply -f FILE.yml,patch……

Davidwatt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes面试题
golove666的博客
04-04 1004
Kubernetes高频面试题。
第2章:字节码指令集与解析举例.mmap
09-29
第2章:字节码指令集与解析举例.mmap
【带你上手云原生体系】第四部分:Kubernetes 圣经 【完整生态、生产必备、一文精通、无需再学】大量图文请慎入
Null的博客
07-20 1550
【带你上手云原生体系】第一部分:文章简介 及 云原生思维概览 【带你上手云原生体系】第二部分:Go语言从入门到精通 【带你上手云原生体系】第三部分:Docker从入门到精通
一文彻底搞懂 Kubernetes 中的认证机制
easylife206的专栏
01-13 510
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !作者:陈亦帅,中国移动云能力中心软件研发工程师,专注于云原生、微服务、算力网络等领域。前言本文首先介绍了 K8s 的访问控制过程,并对 K8s 认证的用户模型进行讲解。最后对认证过程中的用户证书认证以及 Service Account Token 认证进行举例剖析。K8s API 请求访问控制的过程我们知道,不论是通...
kubernetes技术
weixin_43056654的博客
08-16 553
介绍k8s技术的基本用法
Kubernetes权威指南(上)
Phineas0326的博客
03-22 1963
K8S权威指南
第七章-遗传算法应用举例.doc.docx
12-17
遗传算法应用举例 本章节主要介绍遗传算法在实际问题中的应用,包括函数优化、组合优化、自动控制、机器人学、图象处理、人工生命、遗传编码、机器学习等科技领域。遗传算法提供了一种通用框架,解决非线性、多模型...
数字电子技术基础课件:6.6 综合运用举例.ppt
07-04
数字电子技术基础课件:6.6 综合运用举例.ppt
华为Web举例:防火墙直路部署,上下行连接交换机.docx
09-30
华为Web举例:防火墙直路部署,上下行连接交换
单片机C语言实例39:宏定义应用举例.txt
10-05
单片机C语言实例39:宏定义应用举例.txt
[k8s源码]6.reflector
weixin_45396500的博客
07-22 687
而 Informer 是一个更高级别的抽象,它内部使用了 Reflector,但提供了更全面的功能。然后下面是测试部分,首先为fw赋值为watcher,一开始为nil,而在上面r=NewReflector初始化的时候,就已经自动调用了watchFunc,创建了一个watcher。sendingRV随机生成一个资源的版本,随着从ids拿出来的值,作为pod的属性用来创建pod,在测试中,这里的fw是闭包里面创建的watcher,并不和外面的fw冲突,如果不理解,这里的fw也可以改为别的名字。
k8s v1.30 完整安装过程及CNI安装过程总结
从善若水的博客
07-21 676
k8s v1.30 完整安装过程及CNI安装过程总结
[K8S] K8S-Volume存储(6)
程序员进阶之路
07-22 901
当我们创建 PVC 时指定对应的 StorageClass 就能和 PV的StorageClass 关联,StorageClass 会 交由与他关联 Provisioner 存储插件来创建与管理存储,它能帮你创建对应的 PV 和在远程存储上创建 对应的文件夹,并且还能根据设定的参数,删除与保留数据。(持久化卷声明): PersistentVolumeClaim 简称 PVC,是用户存储的一种声明,类似于对存储资源的申请,它属于一个 Namespace 中的资源,可用于向 PV 申请 存储资源。
[K8S] K8S资源控制器Controller Manager(4)
程序员进阶之路
07-22 1173
Deployment为Pod和Replica Set(下一代Replication Controller)提供声明式更新。只需要在 Deployment 中描述想要的目标状态是什么,Deployment controller 就会帮您将 Pod 和 ReplicaSet 的实际状态改变到您的目标状态。也可以定义一个全新的 Deployment 来创建 ReplicaSet或者删除已有的 Deployment 并创建一个新的来替换。
k8s基本单位Pod
misakivv的博客
07-21 1088
k8s基本单位Pod
[k8s源码]5.自己写一个informer控制器
weixin_45396500的博客
07-22 412
Indexer 实际上存储的是完整的对象(如 Pod、Service 等),允许通过多种方式(如名字、命名空间等)快速检索对象。Queue 存储的是对象的键(通常是 "namespace/name" 格式的字符串)。随后设计一个run函数,从而开始从官方的informer拿取数据,但是我们自己设计的informer会有多个worker来处理从队列拿到的任务。k8s的informer控制器有一个informer,有一个indexer,还需要一个队列来存储从kubernetes API获取的信息。
k8s 公共服务
最新发布
怨行客
07-23 299
修改named.conf。修改第13行和第21行下面是 named.rfc1912 修改位置,在最后所以用cp -p 复制文件,保留权限nslookup 回车,server是看哪个dns 在起作用dns服务器要配置给所有公共服务节点和 k8s 节点就在网络文件加个DNS2就行了,网络还要重启。
K8S 部署peometheus + grafana 监控
小五
07-22 819
举例:以 grafana-networkPolicy.yaml 配置文件为例(ingress-nginx 方式暴露服务,所以添加ingress-nginx 命名空间的pod允许访问Grafana即可。默认这个是没有持久化存储的并且prometheus 监控数据只能保存24小时,下面这个是我修改过的,修改监控数据保存时间,添加动态存储。修改 Grafana yaml 文件 添加存储,默认的配置是没有存储的。正常按照默认的部署是不能访问这个监控的,需要修改配置,内核版本为 6.3.5-1.el7。
k8s中部署nacos
warrah 南极狼
07-22 626
将nacos部署到middleware的命名空间中注意deployment.yaml中要填写自己的nfs服务器地址,不能使用默认的。
端点Dice平台:Kubernetes管理复杂异构应用的实战与DevOps实践
举例来说,文档详细介绍了如何使用Kubernetes进行部署,如创建Deployment、Ingress、StatefulSet、Operator、PersistentVolume(PV)和PersistentVolumeClaim(PVC)、Service以及Endpoint等关键组件。例如,通过`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Davidwatt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值