kubernetes创建普通用户

最新推荐文章于 2024-05-29 10:37:55 发布
最新推荐文章于 2024-05-29 10:37:55 发布
阅读量202 收藏 1
点赞数 1
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ba3310/article/details/132260095
版权

kubernetes创建普通用户

案例:创建一个只能管理test空间下的Pods资源普通用户

普通用户并不是通过k8s来创建和维护,是通过创建证书和切换上下文环境的方式来创建和切换用户。

创建证书私钥文件
# openssl genrsa -out devuser.key 2048
 
用此私钥文件创建一个csr(证书签名请求)文件
# openssl req -new -key devuser.key -subj "/CN=devuser" -out devuser.csr
 
拿着证书签名请求文件向apiserver的证书去签署生成证书,签名申请的用户名是devuser
# openssl x509 -req -in devuser.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out devuser.crt -days 365

生成账号devuser
# kubectl config set-credentials devuser --client-certificate=./devuser.crt --client-key=./devuser.key --embed-certs=true

查看集群用户信息
kubectl config get-users
NAME
devuser   
kubernetes-admin

设置账号上下文并指定名称空间, 信息默认会保存在 $HOME/.kube/config
# kubectl config set-context devuser@kubernetes --cluster=kubernetes --user=devuser	--namespace

查看上下文信息
# kubectl config get-contexts
CURRENT   NAME                  CLUSTER      AUTHINFO     NAMESPACE
          devuser@kubernetes    kubernetes   devuser      
*         kubernetes-admin@kubernetes   kubernetes   kubernetes-admin
提示:*表示当前所处的上下文环境用户


切换到账户devuser(通过上下文名称切换)
# kubectl config use-context devuser@kubernetes
Switched to context "devuser@kubernetes".

查看上下文信息
# kubectl config get-contexts
CURRENT   NAME                        CLUSTER      AUTHINFO        NAMESPACE
*         devuser@kubernetes          kubernetes   devuser            test
          kubernetes-admin@kubernetes kubernetes   kubernetes-admin
提示:*表示当前所处的上下文环境用户


使用devuser用户查看名称空间下的pod资源
# kubectl get po -n test
Error from server (Forbidden): pods is forbidden: User "devuser" cannot list resource "pods" in API group "" in the namespace "test"
#提示:禁止devuser用户列出test下API组中的pods资源
#解决方法:如果希望devuser用户对test下具备相应的权限,需要通过管理员身份进行授权


切换身份为管理员
# kubectl config use-context kubernetes-admin@kubernetes
# kubectl config get-contexts
CURRENT   NAME                        CLUSTER      AUTHINFO        NAMESPACE
          devuser@kubernetes          kubernetes   devuser            test
*         kubernetes-admin@kubernetes kubernetes   kubernetes-admin
openssl选项
openssl genrsa -out devuser.key 2048
这条命令使用Openssl工具来生产一个新的私钥文件

-out:指定加密后的文件存放路径

openssl req -new -key devuser.key -subj "/CN=devuser" -out devuser.csr
这条命令使用OpenSSL工具来生成一个新的证书签名请求(CSR)。下面是每个选项的详细解释:

req: 这个选项告诉OpenSSL工具执行证书请求操作。

-new: 这个选项指示OpenSSL生成一个新的证书请求。

-key devuser.key: 这个选项指定了私钥文件的路径和文件名。在这个例子中,私钥文件是devuser.key。

-subj "/CN=devuser": 这个选项指定了证书的主题(Subject)。在这个例子中,证书的主题是/CN=devuser,其中CN表示Common Name,即通用名称。

-out devuser.csr: 这个选项指定了生成的证书签名请求的输出文件路径和文件名。在这个例子中,输出文件是devuser.csr。

openssl x509 -req -in devuser.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out devuser.crt -days 365
这条命令使用OpenSSL工具来生成一个由证书签名请求(CSR)签署的证书。下面是每个选项的详细解释:

x509: 这个选项告诉OpenSSL工具执行X.509证书操作。

-req: 这个选项指示OpenSSL使用证书签名请求(CSR)来生成证书。

-in devuser.csr: 这个选项指定了输入文件的路径和文件名。在这个例子中,输入文件是devuser.csr,即之前生成的证书签名请求文件。

-CA /etc/kubernetes/pki/ca.crt: 这个选项指定了CA(Certificate Authority)的证书文件路径和文件名。在这个例子中,CA证书文件是/etc/kubernetes/pki/ca.crt。

-CAkey /etc/kubernetes/pki/ca.key: 这个选项指定了CA的私钥文件路径和文件名。在这个例子中,CA私钥文件是/etc/kubernetes/pki/ca.key。

-CAcreateserial: 这个选项告诉OpenSSL工具创建一个新的序列号文件,用于生成证书。

-out devuser.crt: 这个选项指定了生成的证书的输出文件路径和文件名。在这个例子中,输出文件是devuser.crt。

-days 365: 这个选项指定了证书的有效期,以天为单位。在这个例子中,证书的有效期是365天。

在OpenSSL中,-CA选项用于指定证书颁发机构(CA)的证书文件和私钥文件。这是因为在生成证书时,需要使用CA的证书和私钥来对证书签名请求进行签名,从而生成有效的证书。通过指定-CA选项,OpenSSL可以找到CA的证书和私钥文件,并将其用于证书生成过程。
学不会go不改名
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3869
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
Kubernetes Dashboard实验手册1
08-03
Kubernetes Dashboard是Kubernetes官方提供的一款Web界面,它允许用户通过图形化界面进行常见的集群操作,如创建、更新和删除Pod、Deployment、Service等资源。 首先,要访问Kubernetes Dashboard,你需要在浏览器...
K8S管理工具-Kuboard
最新发布
JAVAquxiao__的博客
05-29 214
Kuboard 是一款免费的 Kubernetes 管理工具,提供了丰富的功能,结合已有或等,可以便捷的搭建一个生产可用的 Kubernetes 容器云平台,轻松管理和运行云原生应用。
创建k8s普通用户
Dang_Ni的博客
08-04 237
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
kubernetes创建管理员用户,提供给kubectl客户端使用
运维Carl的博客
05-22 1175
kubernetes创建管理员用户,提供给kubectl客户端使用
k8s创建普通用户
whz-emm的博客
10-27 1672
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
k8s 创建普通用户使用
weixin_42562106的博客
11-09 555
【代码】k8s 创建普通用户使用。
Kubernetes存储系统介绍及机制实现
01-25
Kubernetes会根据用户的需求自动创建相应的PV,并将其绑定到PVC。这种方式极大地简化了存储资源的创建和管理过程。 4. **访问模式**:Kubernetes支持多种访问模式,如`ReadWriteOnce`、`ReadOnlyMany`、`...
Kubernetes的PV&PVC的使用
10-13
### Kubernetes的PV&PVC的使用 #### 概述 在Kubernetes中,为了更好地管理和使用持久化存储资源,引入了`...通过以上步骤,用户可以在Kubernetes集群中成功创建并使用NFS类型的PV和PVC,从而实现持久化存储的需求。
Python库 | pulumi_kubernetes-3.0.0a1624478509.tar.gz
03-07
在Pulumi Kubernetes中,Kubernetes资源被表示为普通的Python对象,使得Kubernetes API变得更加易用和直观。 Pulumi Kubernetes库提供了丰富的API,覆盖了Kubernetes的各种资源类型,如Deployment、Service、...
Windows上的Linux容器_DaoCloud-kubernetes实战.pdf
07-17
- 这些账户在宿主机上仅仅是普通用户账户,因此即使有人试图在宿主机级别查看或访问容器内的进程,也无法获取容器内的用户账户信息。 #### 三、Windows容器资源隔离 Windows容器利用类似于CGroup的技术来管理资源...
k8s普通账号建立
cloud_engineer的博客
06-10 1243
本博客将创建一个用户devuser(自定义)只能管理demo空间
K8S-Dashboard安装并创建普通用户
crabdave的博客
05-05 724
K8S-Dashboard安装并创建普通用户
Kubernetes----Kubernetes集群环境配置在Node节点或普通用户使用kubectl命令
redrose2100的博客
03-20 1872
一、配置在Node节点root用户使用kubectl命令 如下,将 ~/.kube 目录拷贝到node节点上即可 # 拷贝到node1节点 scp -r ~/.kube node1:~/ # 拷贝到node2节点 scp -r ~/.kube node2:~/ 二、在Master节点普通用户使用kubectl命令 如下,经 ~/.kube 目录拷贝普通用户目录下,然后修改用户所有者和所属组即可,如下给用户honghua配置执行kubectl命令的权限设置 [root@master ~]# cp -R .k
root切换普通用户执行kubectl exec 执行pod命令
完颜振江
05-17 1626
Bash命令大体可以分为两类: 第一类是可执行文件,例如ls等 第二类是Bash内建命令exec命令同样类似于docker的exec命令,为在一个已经运行的容器中执行一条shell命令,如果一个pod容器中,有多个容器,需要使用-c选项指定容器。执行Pod的data命令,默认是用Pod中的第一个容器执行。
k8s添加普通用户在dashboard
weixin_30256505的博客
09-28 484
转https://blog.qikqiak.com/post/add-authorization-for-kubernetes-dashboard/ 另外还可以参考这个https://mritd.me/2018/03/20/use-rbac-to-control-kubectl-permissions/ ,https://gi thub.com/kubernetes/dashbo...
k8s创建用户账号——User Account
码农崛起
08-17 3325
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独
k8s 带你一步步 创建用户账号(User Account)(1)
2401_83739472的博客
05-15 328
kubectl config use-context #切换context。
Kubernetes容器编排神器与基础架构理解
5. **Web Server vs Worker Container**:在 Pod 的上下文中,"webserver" 可能指代负责处理用户请求的应用容器,而 "busybox" 或者 "worker" 则可能代表执行任务的普通工作负载容器,它们共同协作构建了一个可伸缩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值