【CKA备考】Kubernetes RBAC

已于 2024-09-10 13:09:51 修改
阅读量272 收藏 2
点赞数 2
文章标签: kubernetes 容器 云原生
于 2024-09-10 13:02:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SYN_ACK/article/details/142083612
版权

0.介绍

        以下是使用Kubernetes RBAC(Role-ased Access Control)机制的基本流程。

一、创建个人密钥与证书

openssl genrsa -out myuser.key 2048
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=databases"

二、使用kubernetes CA生成证书

openssl x509 -req -in myuser.csr -CAcreateserial -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -out myuser.crt -days 1000

三、使用kubectl创建集群配置

kubectl --kubeconfig=myuser.config config set-cluster mycluster --server=https://127.0.0.1:6443 --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs

四、创建用户

kubectl --kubeconfig=myuser.config config set-credentials myuser_credentials --username myuser --client-certificate ./myuser.crt --client-key ./myuser.key --embed-certs

五、创建Context

kubectl --kubeconfig=myuser.config config set-context myuserctx --cluster mycluster --user myuser --namespace mynamespace

六、设置current context

kubectl --kubeconfig=myuser.config config use-context myuserctx

七、创建命名空间

kubectl create ns mynamespace

八、创建role

kubectl create role myspacemanager --verb=create,list,delete,get --resource pods --namespace=mynamespace

九、创建rolebinding

kubectl create rolebinding myspacemanager_binding --user=myuser --role=myspacemanager --namespace=mynamespace

        到这一步结束,使用myuser.config作为kubectl --kubeconfig参数,myuser用户应当只能对mynamespace命名空间中的pod资源执行get、list、create、delete操作。

充分小足够大
关注
万字长文带你彻底搞懂什么是 DevOps
Docker的专栏
12-25 194
DevOps 日渐成为研发人员耳熟能详的一个组合词,但什么是 DevOps,为什么 DevOps 对于互联网企业如此重要,真正将其思考透彻的人却不多,带着这些困惑,本文将带你一探 DevO...
CKA备考实验 | 安装kubernetes集群
COCO_gsta的博客
06-27 725
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》本节主要是完整地搭建一套kubernetes集群出来,包括实验环境的准备、安装master、把worker加入集群、安装calico网络等。
备考CKAkubernetes管理员第三天,搭建非高可用版的Kubernetes集群
weixin_45724880的博客
11-10 2214
文章目录搭建非高可用版kubernetes集群如需要一键安装Shell脚本前往如下链接集群信息1.节点信息2.组件版本安装前准备工作1.设置hosts解析2.调整系统配置3. 安装docker部署kubernetes1. 安装 kubeadm, kubelet 和 kubectl2. 初始化配置文件3. 提前下载镜像4. 初始化master节点5. 添加slave节点到集群中6. 安装flannel插件7. 设置master节点是否可调度(可选)8. 验证集群9. 部署dashboard10. 清理环境
CKA备考实验 | 服务发布
COCO_gsta的博客
07-05 393
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》按前面所述,我们需要为pod创建一个svc,但是svc的IP只有集群内部主机及pod才可以访问,那么如何才能让外界的其他主机也能访问呢?这个时候就利用到服务的发布。
Kubernetes CKA 证书备考笔记
hanfengzxh的博客
07-02 1186
Kubernetes 使用有好几年了,但在今年 5 月才完成 CKA 的考试。虽说用了几年,还是提前刷了部分题熟悉下。 绝大部分题都是有在 minikube 的环境上操作过,只有部分比如升级集群受限于环境问题没有实地操作。 写在最前 保存常用文档进书签,如果有 Alfred 启用浏览器书签 workflow。效果见下图 kubectl 自动补全 echo "source <(kubectl completion bash)" >> ~/.bashrc; source.
CKA备考实验 | 安装后的设置
COCO_gsta的博客
06-27 489
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》有一点需要注意,在kubernetes集群安装好之后,kubectl命令都是在master上执行的。在敲命令时发现,kubectl后面的子命令如果能执行Tab键,会带来极大的便捷性,但是默认却是不能使用Tab键的,需要设置一下。步骤1:编辑/etc/profile,在第二行加上source
CKA备考实验 | 动态卷供应
COCO_gsta的博客
06-30 118
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》前面讲持久性存储的时候,是要先创建pv,然后才能创建pvc。如果不同的命名空间里同时要创建不同的pvc,那么就需要提前把pv创建好,这样才能为pvc提供存储。这种操作方式太过于麻烦,所以可以通过storageClass(简称为sc)来解决这个问题。
CKA 备考笔记
xiaoF_的博客
03-19 137
don’t forget change context kubectl config use-context <name> count nodes kubectl get nodes kubectl describe nodes|grep -i taint kubectl describe nodes|grep -i taint|grep none|wc -l retrieve Error Messages kubectl logs -n <namespace> <pod&
CKA备考实验 | 安装一套v1.20.1版本的集群
COCO_gsta的博客
06-27 297
按照前面讲过的步骤,分别设置yum源、/etc/hosts、selinux、防火墙、内核参数、安装并启动docker,安装kubectl、kubeadm、kubelet,启动kubelet等,这里不再重复。后面需要练习升级kubermetes,所以这里再安装一套节点集群,kubernetes版本使用v1.20.1,拓扑图如图3-9所示。步骤6:把worker加入集群,安装calico网络等和前面的步骤一样,请自行安装,最后的结果如下。步骤3:在vms15的终端上查看此文件的内容,并做适当的修改。
prepare-k8s-cka:Kubernetes CKACKAD考试的准备
05-10
1准备K8S CKA考试 博客网址: : ,类别: 归档我或给星标。 查看来自Denny的更多Kubernetes: 1.1小结 5%-[安排中](安排中) 5%-[记录/监视](Logging_Monitoring) 8%-[应用程序生命周期管理]...
华为云 CKA kubernetes管理员实训视频.zip
05-23
Kubernetes管理员实训 第2课:调度管理实训.pdf cka03.mkv 第3课:K8S日志、监控与应用管理实训.pdf cka04.mkv 第4课:K8S网络实训.pdf cka05.mkv 第5课:K8S存储管理实训.pdf cka06.mkv 第6课:K8S安全管理实训...
Online-Material-Source-CKA:Kubernetes认证管理员的在线材料来源-Source material
03-24
Kubernetes认证管理 在线资源将帮助您为参加Kubernetes认证管理员认证考试做准备。 免责声明:这不可能是一个完整的列表,因为随着k8s的快速发展,考试将成为一个移动的目标-如果出现问题或应在此处添加或更新,请...
TensorRT-LLM的k8s弹性伸缩部署方案
最新发布
smartcat2010的博客
11-02 218
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
Kubeadm搭建k8s
YCyjs的博客
10-29 1202
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
11-02 542
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
Centos7搭建k8s集群
ct1027038527的专栏
10-29 937
然后在需要加入集群的节点中执行令牌,注意这里的命令是通过kubeadm token create --print-join-command命令返回的结果。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。逻辑是: deployment ------>副本 -----> pod (运行容器的基本资源对象)# 在工作节点上执行以下命令即可加入集群。执行创建deployment。删除deployment。创建deployment。
k8s 查看cpu使用率最高的pod
u010674101的专栏
10-31 514
Kubernetes 中,可以使用命令查看 Pod 的资源使用情况,从而找到 CPU 使用率最高的 Pod。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值