k8s创建用户账号——User Account

最新推荐文章于 2024-06-18 23:08:28 发布
最新推荐文章于 2024-06-18 23:08:28 发布
阅读量1.4w 收藏 32
点赞数 2
分类专栏: kubernetes 文章标签: kubernetes User Account
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cbmljs/article/details/102953428
版权

用户账户和用户组

Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独立于Kubernetes之外的其他服务管理的用 户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包 含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernetes 系统中 。Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。

 

Kubernetes 有着以下几个内建的用于特殊目的的组 。system:unauthenticated :未能通过任何一个授权插件检验的账号,即未通过认证测 试的用户所属的组 。system :authenticated :认证成功后的用户自动加入的一个组,用于快捷引用所有正常通过认证的用户账号。system : serviceaccounts :当前系统上的所有 Service Account 对象。system :serviceaccounts :<namespace>:特定命名空间内所有的 Service Account 对象。

下面我们来创建一个User Account,测试访问某些我们授权的资源:

创建k8s User Account

一、创建证书

  1. 创建user私钥
root@k8s-master:/etc/kubernetes/pki# (umask 077;openssl genrsa -out cbmljs.key 2048)
Generating RSA private key, 2048 bit long modulus
.......................+++
...........................................+++
e is 65537 (0x10001)
root@k8s-master:/etc/kubernetes/pki#
  1. 创建证书签署请求
    O=组织信息,CN=用户名
root@k8s-master:/etc/kubernetes/pki#  openssl req -new -key cbmljs.key -out cbmljs.csr -subj "/O=k8s/CN=cbmljs"
root@k8s-master:/etc/kubernetes/pki#
  1.  

签署证书

root@k8s-master:/etc/kubernetes/pki# openssl  x509 -req -in cbmljs.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cbmljs.crt -days 365
Signature ok
subject=/O=k8s/CN=cbmljs
Getting CA Private Key
root@k8s-master:/etc/kubernetes/pki#

二、创建配置文件

创建配置文件主要有以下几个步骤:

kubectl config set-cluster --kubeconfig=/PATH/TO/SOMEFILE      #集群配置
kubectl config set-credentials NAME --kubeconfig=/PATH/TO/SOMEFILE #用户配置
kubectl config set-context    #context配置
kubectl config use-context    #切换context

* --embed-certs=true的作用是不在配置文件中显示证书信息。
* --kubeconfig=/root/cbmljs.conf用于创建新的配置文件,如果不加此选项,则内容会添加到家目录下.kube/config文件中,可以使用use-context来切换不同的用户管理k8s集群。
* context简单的理解就是用什么用户来管理哪个集群,即用户和集群的结合。

创建集群配置

root@k8s-master:/etc/kubernetes/pki# kubectl config set-cluster k8s --server=https://192.168.253.136:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=/root/cbmljs.conf
Cluster "k8s" set.
root@k8s-master:/etc/kubernetes/pki# kubectl config view --kubeconfig=/root/cbmljs.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.253.136:6443
  name: k8s
contexts: []
current-context: ""
kind: Config
preferences: {}
users: []
root@k8s-master:/etc/kubernetes/pki#

创建用户配置

root@k8s-master:/etc/kubernetes/pki# kubectl config set-credentials cbmljs --client-certificate=cbmljs.crt --client-key=cbmljs.key --embed-certs=true --kubeconfig=/root/cbmljs.conf
User "cbmljs" set.
root@k8s-master:/etc/kubernetes/pki# kubectl config view --kubeconfig=/root/cbmljs.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.253.136:6443
  name: k8s
contexts: []
current-context: ""
kind: Config
preferences: {}
users:
- name: cbmljs
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
root@k8s-master:/etc/kubernetes/pki#

创建context配置

root@k8s-master:/etc/kubernetes/pki# kubectl config set-context cbmljs@k8s --cluster=k8s --user=cbmljs --kubeconfig=/root/cbmljs.conf
Context "cbmljs@k8s" created.
root@k8s-master:/etc/kubernetes/pki# kubectl config view --kubeconfig=/root/cbmljs.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.253.136:6443
  name: k8s
contexts:
- context:
    cluster: k8s
    user: cbmljs
  name: cbmljs@k8s
current-context: ""
kind: Config
preferences: {}
users:
- name: cbmljs
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
root@k8s-master:/etc/kubernetes/pki#

切换context

root@k8s-master:/etc/kubernetes/pki# kubectl config use-context cbmljs@k8s --kubeconfig=/root/cbmljs.conf
Switched to context "cbmljs@k8s".
root@k8s-master:/etc/kubernetes/pki# kubectl config view --kubeconfig=/root/cbmljs.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.253.136:6443
  name: k8s
contexts:
- context:
    cluster: k8s
    user: cbmljs
  name: cbmljs@k8s
current-context: cbmljs@k8s
kind: Config
preferences: {}
users:
- name: cbmljs
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
root@k8s-master:/etc/kubernetes/pki#

创建系统用户

root@k8s-master:~# mkdir -p /home/cbmljs/.kube
root@k8s-master:~# cp cbmljs.conf /home/cbmljs/.kube/config
root@k8s-master:~# chown cbmljs.cbmljs -R /home/cbmljs/
root@k8s-master:~# su - cbmljs

k8s验证文件

cbmljs@k8s-master:~$ kubectl get pod
Error from server (Forbidden): pods is forbidden: User "cbmljs" cannot list resource "pods" in API group "" in the namespace "default"
cbmljs@k8s-master:~$

#默认新用户是没有任何权限的。

创建Role

此role只有pod的get、list、watch权限

root@k8s-master:~# cat pods-reader.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pods-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

root@k8s-master:~#

创建Rolebinding

用户cbmljs和role pods-reader的绑定

root@k8s-master:~# cat cbmljs-pods-reader.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cbmljs-pods-reader
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pods-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: cbmljs

root@k8s-master:~#

验证结果

如果没有指定命名空间的话,默认就是default命名空间。

cbmljs@k8s-master:~$ kubectl get pod
NAME                                      READY   STATUS    RESTARTS   AGE
callous-poodle-mychart-66d44dfd76-8xp27   2/2     Running   2          23h
flaskapp-v1-b5c74d74c-js2rt               2/2     Running   0          47h
flaskapp-v2-687794745-8664j               2/2     Running   0          47h
musty-scorpion-mysql-5f45d5647-dhbnj      0/2     Pending   0          23h
sleep-v1-5b99774dcf-ccjzp                 2/2     Running   2          2d22h
sleep-v2-b88548576-zgmc2                  2/2     Running   1          2d22h
cbmljs@k8s-master:~$
cbmljs@k8s-master:~$ kubectl get pod -n kube-system
Error from server (Forbidden): pods is forbidden: User "cbmljs" cannot list resource "pods" in API group "" in the namespace "kube-system"
cbmljs@k8s-master:~$

所以我们是可以查看查看default命名空间的pod,但是其他空间的pod是无法查看的。

创建ClusterRole

root@k8s-master:~# cat cluster-reader.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

root@k8s-master:~#

创建ClusterRoleBinding

root@k8s-master:~# cat cbmljs-read-all-pod.yaml 
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: billy-read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: cbmljs

root@k8s-master:~#

验证结果

创建了ClusterRole和ClusterRoleBinding后就可以看到所有命名空间的pod了。

cbmljs@k8s-master:~$ kubectl get pod
NAME                                      READY   STATUS    RESTARTS   AGE
callous-poodle-mychart-66d44dfd76-8xp27   2/2     Running   2          23h
flaskapp-v1-b5c74d74c-js2rt               2/2     Running   0          47h
flaskapp-v2-687794745-8664j               2/2     Running   0          47h
musty-scorpion-mysql-5f45d5647-dhbnj      0/2     Pending   0          24h
sleep-v1-5b99774dcf-ccjzp                 2/2     Running   2          2d22h
sleep-v2-b88548576-zgmc2                  2/2     Running   1          2d22h

cbmljs@k8s-master:~$ kubectl get pod -n kube-system
NAME                                 READY   STATUS    RESTARTS   AGE
coredns-5644d7b6d9-chmhn             1/1     Running   7          6d22h
coredns-5644d7b6d9-qxd4h             1/1     Running   7          6d22h
etcd-k8s-master                      1/1     Running   3          6d22h
kube-apiserver-k8s-master            1/1     Running   11         6d22h
kube-controller-manager-k8s-master   1/1     Running   20         6d22h
kube-flannel-ds-amd64-l9g62          1/1     Running   0          6d22h
kube-flannel-ds-amd64-nxtr9          1/1     Running   1          6d22h
kube-proxy-p8k57                     1/1     Running   0          6d22h
kube-proxy-s4n7b                     1/1     Running   1          6d22h
kube-scheduler-k8s-master            1/1     Running   21         6d22h
tiller-deploy-684c9f98f5-6ld5z       1/1     Running   14         3d3h
cbmljs@k8s-master:~$

参考:
https://blog.csdn.net/cpongo1/article/details/89547625

https://blog.51cto.com/billy98/2380061

https://blog.51cto.com/11233559/2378013

cbmljs
关注
专栏目录
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3885
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1099
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
K8s安全实践:使用ServiceAccount为应用程序授权
最新发布
zgt_certificate的博客
06-18 453
当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限。无需单独为某个用户创建权限,统一为这个组名进行授权,所有的用户都可以以组的身份访问资源。测试:只要O字段都是dev,这些用户持有的kubeconfig文件都拥有相同的权限。Kubernetes的默认授权策略,动态配置策略(修改即时生效)。通过RBAC可以实现对不同用户或服务账号的精细化权限控制。
k8s 带你一步步 创建用户账号(User Account)(1)
2401_83739472的博客
05-15 407
kubectl config use-context #切换context。
k8suser account
fengcai_ke的博客
07-11 1216
k8s user account
k8s创建普通用户
whz-emm的博客
10-27 1703
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
创建k8s普通用户
Dang_Ni的博客
08-04 282
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
kubernetes10——访问控制(serviceaccountuseraccount、RBAC)
qwejiaji的博客
08-05 887
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
一个k8s集群——跨云服务器部署
qq_43285879的博客
10-16 3531
穷学生只买得起云厂商新人优惠服务器,想玩分布式只能搭建跨云集群,无奈不是一个云厂商不在同一vpc网络下,有很多坑特此记录一下 两台服务器,一台青云4c8g,一台腾讯云2c4g 1、安装Docker sudo yum remove docker* sudo yum install -y yum-utils #配置docker的yum地址 sudo yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/c
Linux企业运维篇——docker之k8s集群搭建
weixin_44321116的博客
05-31 617
kubernetesk8s)中文文档参考 http://docs.kubernetes.org.cn/ 一.Kubernetes介绍 Kubernetes一个用于容器集群的自动化部署、扩容以及运维的开源平台。 1.Kubernetes可以做什么? 使用Web服务,用户希望应用程序能够7*24小时全天运行,开发人员希望每天多次部署新的应用版本。通过应用容器化可以实现这些目标,使应用简单、快捷的方式...
k8s集群搭建
MyNine_的博客
05-02 777
k8s集群搭建 虚拟机环境准备 vagrant初始化三台sentos/7环境(需要先安装vagrant) Vagrantfile文件: Vagrant.configure("2") do |config| (1..3).each do |i| config.vm.define "k8s-node#{i}" do |node| # 设置虚拟机的Box node.vm.box = "centos/7" # 设置虚
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 552
【代码】K8S创建用户账号User Account并赋予权限。
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2075
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccountkubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成userkuber
k8s怎么创建管理员用户
weixin_35750483的博客
01-23 672
Kubernetes 集群中创建管理员用户的方法有多种,其中一种是通过 kubeadm 工具来创建。使用 kubeadm 创建的用户默认拥有 cluster-admin 权限。 创建管理员用户的证书和私钥: openssl genpkey -out admin-key.pem -aes256 -algorithm rsa -pkeyopt rsa_keygen_bits:4096 opens...
k8s 带你一步步 创建用户账号(User Account),入职阿里啦
2401_83739472的博客
04-15 1021
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。[root@node-01 ~]# useradd jenkins #创建什么用户名都可以。
k8s普通账号建立
cloud_engineer的博客
06-10 1273
本博客将创建一个用户devuser(自定义)只能管理demo空间
k8s(九)—访问控制(创建serviceaccount账号、创建useraccount账号
qq_43114229的博客
04-17 5053
1.访问控制简介 2.创建sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创建sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创建成功 default 1 5d19h [root@se
k8s 创建user,group ServiceAccount创建
06-01
), 5, self) search_result_table.setHorizontalHeaderLabels(["ID", "类型", "支出", "关键字", "在 Kubernetes 中,可以使用以下步骤来创建用户、组和 ServiceAccount创建用户和组: 1. 通过 ssh 连日期"]) search_result_table.horizontalHeader().setSectionResizeMode(QHeaderView.Stretch) row = 0 for record in matched接到 Kubernetes 集群上的一台主节点。 2. 执行以下命令创建一个新的用户: ``` sudo user_records: for i in range(len(record)): search_result_table.setItem(row, i, QTableWidgetItem(str(record[i]))) row += add -m <username> ``` 3. 执行以下命令创建一个新的组: ``` sudo groupadd <groupname1 search_result_layout.addWidget(search_result_table) search_result_widget.setWindowTitle("查询结果") search_result_widget.show() if __> ``` 4. 执行以下命令将用户添加到组中: ``` sudo usermod -a -G <groupnamename__ == '__main__': app = QApplication(sys.argv) window = MainWindow() window.show() sys.exit(app.exec_> <username> ``` 创建 ServiceAccount: 1. 执行以下命令创建一个新的 ServiceAccount: ``` kubectl()) ``` 这个代码实现了你所要求的所有功能。在这个代码中,我们使用了PyQt5 create serviceaccount <serviceaccount-name> ``` 2. 执行以下命令获取 ServiceAccount 的详细信息: ``` kubectl来创建GUI界面,使用了QCalendarWidget来显示日历,使用了QTimeEdit来显示时间。我们通过连接clicked describe sa <serviceaccount-name> ``` 在输出中,可以看到 ServiceAccount 的名称和自动生成的 Secret 名称。 信号和槽来更新当前日期和时间。我们还使用了QLineEdit、QComboBox和QPushButton等控件来实现记3. 可以使用以下命令将 ServiceAccount 绑定到一个或多个角色: ``` kubectl create rolebinding账和查询功能。我们使用了QTableWidget来显示记账和查询结果,并使用了CSV文件来保存记账数据 <binding-name> --role=<role-name> --serviceaccount=<namespace>:<serviceaccount-name> ``` 其中,`<。我们使用了defaultdict来计算每种类型的总支出,并使用了QMessageBox来显示查询结果。 希望binding-name>` 是绑定的名称,`<role-name>` 是角色的名称,`<namespace>` 是 ServiceAccount 所在这个代码能够对你有所帮助,祝你好运!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值