etcd v3开启认证完整步骤

已于 2024-05-08 10:13:28 修改
阅读量945 收藏 11
点赞数 13
分类专栏: 组件/中间件常见问题解决 文章标签: etcd 数据库 docker
于 2024-01-03 10:00:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HYZX_9987/article/details/135237119
版权

主要是基于用户及密码的认证流程,包含用户、角色、认证相关的详细步骤,代码实现时也可与该步骤保持一致,否则很容易报错。

下文基于docker启动的etcd进行详述,如你的操作不是基于docker 的,则去掉指令前面的docker exec 容器名 直接使用etcdctl操作即可。

先查看是否开启了认证,刚开始都是默认关闭,false表示关闭:

[root@ myetcd]# docker exec my_etcd etcdctl auth status
Authentication Status: false
AuthRevision: 1

查看角色列表和用户列表,什么都没有:

[root@ myetcd]# docker exec my_etcd etcdctl role list
[root@ myetcd]# docker exec my_etcd etcdctl user list

添加root角色

[root@ myetcd]# docker exec my_etcd etcdctl role add root
Role root created

添加root用户(也可以直接user add root,不带冒号即表示使用交互式命令完成密码录入):

[root@ myetcd]# docker exec my_etcd etcdctl user add root:123
User root created

再次查看角色和用户列表:

[root@ myetcd]# docker exec my_etcd etcdctl role list
root
[root@ myetcd]# docker exec my_etcd etcdctl user list
root

给root用户赋予root角色

[root@ myetcd]# docker exec my_etcd etcdctl user grant-role root root
Role root is granted to user root

好了,开启认证看看:

[root@ myetcd]# docker exec my_etcd etcdctl auth enable
Authentication Enabled

至此,认证开启流程已完成,下文为验证其读/写用户、角色、权限等问题的详细流程。

添加一个名为rw_role1用于读写的角色

[root@ myetcd]# docker exec my_etcd etcdctl role add rw_role1
Role rw_role1 created

添加一个名为rw_user1用于读写的用户

[root@ myetcd]# docker exec my_etcd etcdctl user add rw_user1:123
User rw_user1 created

给rw_user1用户绑定rw_role1角色

[root@ myetcd]# docker exec my_etcd etcdctl user grant-role rw_user1 rw_role1
Role rw_role1 is granted to user rw_user1

给rw_role1角色赋予以 / 开头的key的 读写权限,--prefix=true是使用前缀的标识,也可不带

[root@ myetcd]# docker exec my_etcd etcdctl role grant-permission --prefix=true rw_role1 readwrite /
Role rw_role1 updated

这时候随便执行个命令:

[root@ myetcd]# docker exec my_etcd etcdctl role list 
{"level":"warn","ts":"2022-04-25T09:13:30.560Z","logger":"etcd-client","caller":"v3/retry_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc000420a80/127.0.0.1:2379","attempt":0,"error":"rpc error: code = InvalidArgument desc = etcdserver: user name is empty"}
Error: etcdserver: user name is empty

这是因为开启了认证后执行指令就必须带指定用户,那好,带一个用户看看:

[root@ myetcd]# docker exec my_etcd etcdctl role list --user=rw_user1:123
{"level":"warn","ts":"2022-04-25T09:13:48.835Z","logger":"etcd-client","caller":"v3/retry_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc000314a80/127.0.0.1:2379","attempt":0,"error":"rpc error: code = PermissionDenied desc = etcdserver: permission denied"}
Error: etcdserver: permission denied

怎么权限不够?哈哈别急,因为rw_user1的权限只针对以/为前缀的key ,其它的都没有权限,这时候使用root操作:

[root@ myetcd]# docker exec my_etcd etcdctl role list --user=root:123
root
rw_role1
[root@ myetcd]# docker exec my_etcd etcdctl user list --user=root:123
root
rw_user1

查看认证状态也一样,必须带上有权限操作该指令的用户:

[root@ myetcd]# docker exec my_etcd etcdctl auth status
{"level":"warn","ts":"2022-04-25T09:17:55.673Z","logger":"etcd-client","caller":"v3/retry_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc00043e700/127.0.0.1:2379","attempt":0,"error":"rpc error: code = InvalidArgument desc = etcdserver: user name is empty"}
Error: etcdserver: user name is empty
[root@ myetcd]# docker exec my_etcd etcdctl auth status --user=root:123
Authentication Status: true
AuthRevision: 8

好,现在我们用刚刚创建的读写用户写一个值:

[root@ myetcd]# docker exec my_etcd etcdctl --user=rw_user1:123 put /abc 1
OK

查看一下:

[root@ myetcd]# docker exec my_etcd etcdctl --user=rw_user1:123 get /abc
/abc
1

创建一个读角色试试

[root@ myetcd]# docker exec my_etcd etcdctl role add r_role1 --user=root:123
Role r_role1 created

给角色赋予前缀为/abc/de的key的读权限(etcd中分为三类大的权限:读、写、读写)

[root@ myetcd]# docker exec my_etcd etcdctl role grant-permission --prefix=true r_role1 read /abc/de  --user=root:123
Role r_role1 updated

创建读用户

[root@ myetcd]# docker exec my_etcd etcdctl --user=root:123 user add r_user1:123
User r_user1 created

给r_user1用户绑定r_role1角色

[root@ myetcd]# docker exec my_etcd etcdctl user grant-role --user=root:123 r_user1 r_role1
Role r_role1 is granted to user r_user1

使用读用户读取刚创建的/abc肯定提示无权限:

[root@ myetcd]# docker exec my_etcd etcdctl --user=r_user1:123 get /abc
{"level":"warn","ts":"2022-04-25T09:22:55.510Z","logger":"etcd-client","caller":"v3/retry_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc000430380/127.0.0.1:2379","attempt":0,"error":"rpc error: code = PermissionDenied desc = etcdserver: permission denied"}
Error: etcdserver: permission denied

这时再创建一个key为/abc/def,value为2

[root@ myetcd]# docker exec my_etcd etcdctl --user=rw_user1:123 put /abc/def 2
OK

用r_user1读一下成功了:

[root@ myetcd]# docker exec my_etcd etcdctl --user=r_user1:123 get /abc/def
/abc/def
2


此时在它的权限范围内,因此读取成功。感觉不过瘾?再来个试试,用读写用户创建/abc/df1:

[root@ myetcd]# docker exec my_etcd etcdctl --user=rw_user1:123 put /abc/df1 3
OK

/abc/df1不在r_user1的权限范围,没权限,因此读取失败:

[root@ myetcd]# docker exec my_etcd etcdctl --user=r_user1:123 get /abc/df1
{"level":"warn","ts":"2022-04-25T09:30:19.992Z","logger":"etcd-client","caller":"v3/retry_interceptor.go:62","msg":"retrying of unary invoker failed","target":"etcd-endpoints://0xc0000de700/127.0.0.1:2379","attempt":0,"error":"rpc error: code = PermissionDenied desc = etcdserver: permission denied"}
Error: etcdserver: permission denied

可以看看指定角色的权限:

[root@ myetcd]# docker exec my_etcd etcdctl --user=root:123 role get rw_role1
Role rw_role1
KV Read:
        [/, 0) (prefix /)
KV Write:
        [/, 0) (prefix /)

读用户的:

[root@ myetcd]# docker exec my_etcd etcdctl --user=root:123 role get r_role1
Role r_role1
KV Read:
        [/abc/de, /abc/df) (prefix /abc/de)
KV Write:

可以看到是前闭后开区间。

想不想看看最高权限root长啥样?

[root@ myetcd]# docker exec my_etcd etcdctl --user=root:123 role get root 
Role root
KV Read:
KV Write:

答曰:nil

ProblemTerminator
关注
专栏目录
etcd v3开启认证完整步骤&认证相关问题解决
空山新雨后,天气晚来秋
05-18 2478
etcd v3开启认证完整步骤&认证相关问题解决
etcd常见操作报错解决汇总
空山新雨后,天气晚来秋
04-23 5996
etcd常见操作报错解决汇总
ETCD集群部署并开启身份认证
guyougao的博客
01-16 2803
etcd集群部署
etcd开启身份验证
fusugongzi的博客
04-25 2317
etcd有两种身份验证方式:1. 用户名密码2. 证书这里采用用户名密码的验证方式以下命令使用的etcd版本是3.5.0。
docker 搭建etcd服务
qq_33496882的博客
10-13 568
【代码】docker 搭建etcd服务。
etcd v3用户权限操作
liao__ran的博客
06-10 1300
增加root用户: /data/etcd/etcd/etcdctl --endpoints http://192.168.73.222:9002,http://192.168.73.222:9004,http://192.168.73.222:9006 user add root 创建用户:RootRead,RootWrite,RootReadWrite /data/etcd/etcd/etcdctl --endpoints http://192.168.73.222:9002,http://192.16
docker搭建etcd集群
BBJG_001的博客
11-12 1405
最近用到etcd,就打算用docker搭建一套,学习整理了一下。记录在此,抛砖引玉。
第09课:基于 Etcd 的分布式锁实现原理及方案
Jin_Kwok的博客
10-28 1224
Etcd 最新版本已经提供了支持分布式锁的基础接口(可见官网说明),但本文并不局限于此。 本文将介绍两条实现分布式锁的技术路线: 从分布式锁的原理出发,结合 Etcd 的特性,洞见分布式锁的实现细节; 基于 Etcd 提供的分布式锁基础接口进行封装,实现分布式锁。 两条路线差距甚远,建议读者先看路线 1,以便了解 Etcd 实现分布式锁的细节。 1. 为什么选择 Etcd 据官网介绍,Etcd...
【云原生Kubernetes】二进制搭建Kubernetes集群(上)——部署etcd集群和单master
在熙丶的博客
07-18 737
文章目录前言单master集群架构图一、实验环境二、部署etcd集群2.1 操作系统初始化配置2.2 部署 etcd 集群(分布式键值对数据库)1)在 etcd01 节点上操作2)在 etcd02 和 etcd03 节点上操作在 etcd02 节点上操作(42主机):在 etcd03 节点上操作(43主机):检查etcd群集状态:三、部署 Master 组件总结etcd数据库etcd安装步骤:master组件安装步骤:1.先安装apiserver2.再启动controller-manager 和sched
红队攻防渗透技术实战流程:云安全之云原生安全:K8s安全etcd Dashboard Configfile漏洞
最新发布
HACKONE的博客
05-22 302
第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert进行认证访问,一般配合ssrf或其他利用,较为鸡肋。etcd是master节点的数据库,通过未授权获取token和证书来攻击,etcd的端口是2379:默认通过证书认证,主要存放节点的数据,如一些token和证书。第三种:实战中在安装k8s默认的配置2379只会监听本地,如果访问没设置0.0.0.0暴露,那么也就意味着最多就是本地访问,不能公网访问,只能配合ssrf或其他。
traefik使用etcd存储配置--实例演示
无锋剑
01-05 1291
traefik 使用etcd 作为后端配置存储配置实例 功能测试目的: 1:Traefik 作为web服务,使用etd库作为配置统一存储空间,实现traefik服务可以方便的增删节点,解耦traefik服务启动后服务配置的问题。 2:Traefik 使用http验证方式申请ssl证书,即每配置一个域名让traefik 帮我们自动申请一个ssl证书. 测试步骤如下: 1:安装 traefik 1.7...
Etcd集群搭建报publish error: etcdserver: request timed out解决方式
a13568hki的博客
04-06 6787
只需要删除集群下报错节点的数据,使他重新同步就行,推测数据不同步导致报错 命令: 1.查看etcd集群的数据目录: cat /opt/etcd/cfg/etcd.conf 2.调用删除命令: rm -rf /var/lib/etcd/* 然后再重启所有etcd就正常了 ...
etcd-keeper的简单使用和相关Docker操作
Niklauson的博客
05-06 2483
启动后访问http://127.0.0.1:11080/etcdkeeper/,如果开启用户认证,需要登陆root和root用户的密码,如果etcd server开启tls,则etcd keeper需要配置证书相关。ps: 图中的10.0.2.15为docker服务安装的宿主机地址,我是用virtual box安装的centos7的虚拟机,docker服务安装在虚拟机上,所以10.0.2.15也就是虚拟机的地址。下面通过制作docker image后,使用更方便。上述是通过可执行文件运行服务。
Etcd 可视化工具 — Etcd Keeper、etcdmanager、etcdv3-browser
wohu1104的专栏
03-28 8697
etcd 可视化工具客户端
Etcd安全配置之Basic Auth认证
Galaxy_0的博客
01-10 563
Etcd安全配置之Basic Auth认证
/etc/etcd/peer.crt: permission denied
云淡风轻
10-28 1805
/etc/etcd/peer.crt: permission denied 简介 Centos7.4 安装etcd后启动失败,提示如下 [root@xx ~]# journalctl -xe Oct 28 11:56:56 xx etcd[5983]: etcd Version: 3.3.11 Oct 28 11:56:56 xx etcd[5983]: Git SHA: 2cf9e51 Oct...
etcd集群权限管理和账号密码使用
运维玄德公
07-02 4351
1. 操作实例 1.1 环境说明 1.2 创建root用户 1.3 开启身份验证 1.4 普通用户管理 1.4.1 创建普通用户 1.4.2 创建角色 1.4.3 给角色赋权 1.4.4 给用户绑定角色 1.1.5 测试 2. 权限常用命令 2.1 用户管理 创建用户 删除用户 修改密码 查看所有用户 查看指定用户及绑定角色 2.2 角色 增加角色 给角色赋权 回收角色赋权 删除角色 查询角色列表 查询指定角色的权限 2.3 用户&角色 用户绑定角色 回收用户绑定权限 2.4 权限使用.........
ETCD报错:Error etcdserver mvcc database space exceeded
阿牛同学的博客
04-27 1467
ETCD配置问题处理与验证 报错信息: 容器创建的时候,报错:Error etcdserver mvcc database space exceeded 问题原因: k8s创建pod的时候,会向etcd中写数据,etcd官方默认的空间配额是2G,最大支持8G,以下是官方下载包内的说明, The default storage size limit is 2GB, configurable with `--quota-backend-bytes` flag. 8GB is a suggested
etcd入门系列三:身份验证访问控制
一二三四吾
11-24 9224
etcd入门系列 一. etcddocker中的安装与使用 二. etcd 开启 https 1. 简介 etcd 默认是没有开启访问控制的,如果我们开启外网访问的话就需要考虑访问控制的问题,etcd 提供了两种访问控制的方式: 基于身份验证的访问控制 基于证书的访问控制 这节主要是选择第一种方式,进行的讲解,由于之前文章中是采用http接口的方式通讯,为了更全面的了解 etcd 的使用,本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ProblemTerminator

您的鼓励将是作者最大的动力哦!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值