kubeconfig生成最高权限的token

已于 2023-02-28 08:41:34 修改
阅读量1.2k 收藏
点赞数 2
分类专栏: kubernetes 文章标签: kubernetes docker 容器
于 2023-02-26 17:24:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ab1024249403/article/details/129228722
版权

参考文档

1.https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/authentication/
2. https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

操作流程

生成kubernetes集群最高权限admin用户的token

admin-role.yaml

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: admin
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: admin
  namespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin
  namespace: kube-system
  labels:
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
  1. cluster-admin:允许超级用户在平台上的任何资源上执行所有操作。 当在 ClusterRoleBinding 中使用时,可以授权对集群中以及所有名字空间中的全部资源进行完全控制。 当在 RoleBinding 中使用时,可以授权控制角色绑定所在名字空间中的所有资源,包括名字空间本身。
  2. 执行下面的命令创建 serviceaccount 和角色绑定
kubectl apply-f admin-role.yaml
  1. 创建完成后获取secret中token的值。
# 获取admin-token的secret名字
kubectl -n kube-system get secret|grep admin-token

# 获取token
kubectl describe secret admin-token-nwphb -n kube-system

# token值:
eyJhbGciOiJSUzI1NiIsImtpZCI6Im5EY3NhNm02cUxhdTJpSDRUM0NMbWl3bzJjQmE1VmVWeFhhSjREMF9CRUUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb

创建kubeconfig文件

apiVersion: v1
clusters:
- cluster:
    server: https://172.13.18.66:6443
    insecure-skip-tls-verify: true
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: admin
  user:
    token: eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb
  1. 172.13.18.66:6443替换为自己kube-apiserver的服务地址;
  2. 可以使用代理转发https://172.13.18.66:6443,以便其他机器可以通过外网进行访问操作;
  3. 开启了代理的话,记得设置上insecure-skip-tls-verify: true
  4. 如果访问失败的话
    1. 检查下token是否设置正确
    2. 检查/etc/kubernetes/manifests/kube-apiserver.yaml文件中,有无开启token-auth-file
澎仔
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
PHP token验证生成原理实例分析
10-16
主要介绍了PHP token验证生成原理,结合实例形式分析了php的token验证原理与使用技巧,需要的朋友可以参考下
Android token生成和上传
11-18
Android token生成和上传(七牛),主要是上传token生成部分。七牛里面没有Android部分的实例代码,写完之后共享给大家。避免再走弯路。
k8s环境里,生成一个可以访问所有分区资源的token
最新发布
小诸葛的博客
05-29 584
角色,该角色具有访问所有分区资源的权限。为服务账户所在的命名空间。
kubeadm、kubectl 常用操作命令
smile_tianya的博客
03-24 712
kubeadm、kubectl 常用操作命令:列出组件、查看节点、查看集群状态、查看部署状态、查看命名空间下映射的端口、查看日志、列出token、创建token 用来加入集群、创建一个 Master 节点、将一个 Node 节点加入到当前集群中
配置kubectl客户端通过token方式访问kube-apiserver
weixin_33872660的博客
11-13 612
帮助文档 使用的变量 本文档用到的变量定义如下: $ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP $ export KUBE_APISERVER="https://${MASTER_IP}:6443" $ 创建 kubectl config 文件 $ # 设置集群参数 ...
kubectl权限创建和控制
mao2553319的博客
12-13 1593
kubectl权限控制
kube获得token_配置kubectl客户端通过token方式访问kube-apiserver
weixin_29055137的博客
01-17 1018
帮助文档使用的变量本文档用到的变量定义如下:$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP$ export KUBE_APISERVER="https://${MASTER_IP}:6443"$创建 kubectl config 文件$ # 设置集群参数$ kubectl config set-cluster kubernete...
使用 kubeconfigtoken 进行用户身份认证
浅抒流年的博客
04-20 175
使用 kubeconfigtoken 进行用户身份认证
k8s创建管理员token
划水的银开的博客
03-08 2901
放到k8s集群里面,然后赋予可执行权限,执行即可得到token admin_account="k8s-cyk-admin" kubectl create serviceaccount ${admin_account} -n kube-system kubectl create clusterrolebinding ${admin_account} --clusterrole=cluster-admin --serviceaccount=kube-system:${admin_account} kubectl
github 生成token的方法图解
10-14
主要介绍了github 生成token的方法,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
K8s API快速入门
08-25 743
上一篇文章《Docker Restful API快速入门》介绍了有关Docker API的快速入门,今天这个文章给大家介绍一下K8s API的入门。 下载K8s的API, k8s的API是OPENAPI的标准,可以从github.com/gohutool/docker.ui项目进行下载, 文件名k8s.swagger.json打开Postman,点击File-》Import 如图这里就已经成功的导入了K8s的API至Postman里, 接下来,我们测试一个响应的API, 查看Pods执行出现错误
Kubernetes部署Dashboard
屈帅波的技术博客
11-22 499
1、部署Dashboard wget https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml 2、将Service改为NodePort kind: Service apiVersion: v1 metadata: labels:...
新建Token来访问K8S apiserver
第一天
01-08 2706
我们管理K8s主要有两种方式,1是通过服务器上面的kubectl客户端,第二个就是api方式进行访问。可以正常访问,这里用-k 忽略掉了https证书。5、使用https证书访问api-server。新建一个createaccount.yaml。4、测试访问api-server。
解决:登录 Kubernetes Dashboard 图形界面,证书访问方式
qxd1999的博客
05-23 960
官网解决:Error Generating Token · Issue #7108 · kubernetes/dashboard · GitHub 前提:c01和c02是2台VMware Workstation 的虚拟机,NAT网络 1. kubernetes dashboard 安装后,做好 type: NodePort 2. 做好VMware虚拟机的端口映射 3. 使用用浏览器访问 http://c02:30048,弹窗需要token的界面 (此处略去截图) 说明:30048是pod环境中的
k8s1.24.0 dashboard登录token生成
code_feien的博客
03-07 1664
dashboard
关于Kubernetes中API Server使用tokenkubeconfig文件认证的一些笔记
山河已无恙
01-26 3890
只有能做到“尽人事而听天命”,一个人才能永远保持心情的平衡。 ----- 《季羡林谈人生》
k8s查看用户的token并验证
热门推荐
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
Kubernetes】k8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-03 9991
文章目录环境准备k8s安全框架介绍token验证说明启用token验证测试token验证base-auth【已经被淘汰】kubeconfig验证说明kubeconfig文件拷贝做测试创建kubeconfig文件【重要】申请证书创建kubeconfig 文件用户授权验证kubeconfig 文件oauth【第三方的认证方式】授权了解sa安装dashboard资源限制 环境准备 首先需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME
通过jwt生成token权限
05-13
JWT(JSON Web Token)是一种用于进行身份验证和授权的开放式标准。通过JWT生成token可以实现权限控制。简单来说,JWT是一个由三段组成的字符串,分别是头部(header)、载荷(payload)和签名(signature)。 在应用中,通常是用户进行登录后,系统将用户信息加密为token存储在客户端的本地存储(sessionStorage、localStorage或cookie)中。在之后的访问中,客户端每次向服务器发起请求时,都需要将加密后的token作为请求的一个头信息发送给服务器,服务器端使用相同的秘钥进行解析验证并返回相应的数据。 在JWT中,我们可以将用户的角色、权限等信息作为载荷,对相应的接口进行权限验证。当用户请求需要权限的接口时,服务器端会先解析token的载荷信息,再对用户的角色、权限等信息进行验证,从而实现对应接口的权限控制。 通过JWT生成token权限控制有很多优势,不仅可以减轻服务器的负担,而且可以提高系统的安全性。但是,也需要注意token的安全性,避免出现token泄露的情况。为了加强安全性,建议将token设置为短时效性,并对其进行加密和签名保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值