k8s:使用用户证书访问api-server

已于 2024-06-12 10:28:09 修改
阅读量230 收藏 2
点赞数 3
分类专栏: kubernetes(k8s) 文章标签: kubernetes
于 2024-05-29 18:09:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhz2284/article/details/139302536
版权

# 创建用户【chz】跟【ClusterRole:cluster-admin】的绑定文件【ClusterRoleBinding-cluster-admin-chz.yaml】

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cluster-admin-chz-binding
  namespace: default
subjects:
- kind: User
  name: chz
  apiGroup: ""
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: ""

执行【kubectl apply -f ClusterRoleBinding-cluster-admin-chz.yaml

# 创建用户【chz】的key

openssl genrsa -out chz.key 2048

# 创建用户【chz】的csr

openssl req -new \
    -key chz.key \
    -out chz.csr \
    -subj "/CN=chz/O=chz"

注意上面的【-subj “/CN=chz/O=chz”】中的CN非常重要,它表明这是用户chz的csr

# 创建用户【chz】的crt

openssl x509 -req \
    -in chz.csr \
    -CA /etc/kubernetes/pki/ca.crt \
    -CAkey /etc/kubernetes/pki/ca.key \
    -CAcreateserial \
    -out chz.crt \
    -days 3650

# 访问api-server的时候带上用户chz的key和crt

使用用户chz的语言访问api-server

curl -k \
    --cert /chz/install/k8s/api-server/chz.crt \
    --key /chz/install/k8s/api-server/chz.key \
    https://192.168.44.228:6443/api

结果能正常显示:
在这里插入图片描述
使用非用户chz的证书访问api-server,结果不能正常显示:
在这里插入图片描述

# 个人理解

如果您是想开发一套管理k8s的系统的话,没必要为每一个用户都创建证书,创建一个管理员证书就够了。用户的认证放在管理系统里面做就可以。

陈鸿圳
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes-使用集群CA证书用户颁发客户端证书访问Api-Server
博然的宝藏库
06-02 937
创建了证书之后,为了让这个用户访问 Kubernetes 集群资源,现在就要创建 Role 和 RoleBinding 了。解释:创建一个角色叫开发者,只有更新和创建以及列出对于Pod资源的权限,没有制定命名空间则默认使用default.设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。2、下面get pod 则验证了权限配置正常以及正确。比如我是rke2的发行版,默认是default,其他发行版类推。将上面的的开发者权限绑定到刚才颁发证书的user-myuser。
K8S-给集群创建一个用户,自定义证书访问apiserver
wangmiaoyan的博客
10-14 1517
首先查看apiserver证书文件,默认的路径是/etc/kubernetes/pki [root@master ~]# cd /etc/kubernetes/pki/ [root@master pki]# ls apiserver.crt etcd apiserver-etcd-client.crt front-proxy-ca.crt apiserve...
python使用证书访问k8s apiserver
小诸葛的博客
07-27 274
【代码】python使用证书访问k8s apiserver
Kubernetes API访问控制:用户认证
Sebastien23的博客
12-27 87
k8s安全控制框架主要由下面三个阶段控制。每一个阶段都支持插件方式,通过API Server配置来启用插件。建立TLS后,HTTP请求将进入认证步骤。集群创建脚本或者集群管理员配置API服务器,使之运行一个或多个身份认证组件。认证步骤的输入整个HTTP请求;但是,通常组件只检查。认证模块包含客户端证书、密码、普通令牌、引导令牌和JSON Web令牌(JWT,用于服务账户)。可以指定多个认证模块,在这种情况下,服务器依次尝试每个验证模块,。如果请求认证不通过,服务器将以HTTP状态码拒绝该请求。
kubernetes https外部用户证书访问
u011181610的博客
08-23 6314
问题:在弄k8s服务的时候一般和k8s集成的服务 如jenkins ansible等都支持serviceaccout认证, serviceaccout认证相对好弄一些(有时间我会写一下 serviceaccout的获取过程),今天碰到grafana要连接k8s集群,但是不支持serviceaccount,只能用证书了,本来我对https就有抵触心理,没办法只能硬着头皮去搞,翻看了官网的文档终于解决...
K8S监控blackbox-exporter镜像及资源清单文件
01-18
**K8S监控blackbox-exporter镜像及资源清单文件详解** Kubernetes(简称K8S)作为现代云原生应用的基石,提供了一种高效、灵活的容器编排方式。在K8S环境中,对服务的健康状态进行监控至关重要。Blackbox Exporter...
kubeadm初始化k8s证书过期解决方案
最新发布
05-23
### kubeadm初始化k8s证书过期解决方案 #### 概述 Kubernetes(简称k8s)作为当前主流的容器编排工具之一,在实际部署过程中常常采用kubeadm进行快速部署与管理。然而,在长期运行的过程中,kubeadm初始化时生成的...
K8s-Cluster-1.16-Ubuntu-18.04-_rework:K8s-Cluster-1.16-Ubuntu-18.04 _rework
03-27
标题中的“K8s-Cluster-1.16-Ubuntu-18.04-_rework”表明这是一个关于在Ubuntu 18.04操作系统上构建KubernetesK8s)集群的项目,版本为1.16。Kubernetes是Google开源的一款容器编排系统,用于自动化容器化应用的...
k8s 增加 windows server 2019 所需资源
09-11
Kubernetesk8s)集群中添加Windows Server 2019节点是为支持运行基于Windows的应用程序。Kubernetes最初主要设计用于管理基于Linux的容器,但随着Windows Server容器的普及,它也逐渐增加了对Windows操作系统的...
K8s部署和使用详尽PDF
08-31
Kubernetes(简称K8s)是一种流行的容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。在“K8s部署和使用详尽PDF”中,主要涉及了Kubernetes集群的搭建、配置以及Docker的安装等核心知识点。以下是这些...
kubernetes apiserver认证
mark's technic world
02-12 2732
kubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证方式:基本认证:basic-auth--basic-auth-file=/path/to/basic-auth.csv在basic-auth.csv中拥有以列为单位的认证信...
k8s https访问api
yangbosos的博客
04-16 4451
ApiServer认证,认证一共有三种方式: 1)Https双向认证,是双向认证啊,不是单向认证(最安全)。 2)Http Token认证 3)Http Base认证,用户名和密码 我们之前介绍http方式是没有任何认证措施的,也就是说只要能访问master的主机都可以与其进行通信。特别说明:kubectl命令行工具既同时支持CA双向认证也支持简单认证(http base或...
k8s api访问证书
weixin_44742630的博客
11-15 512
$ cp /etc/kubernetes/admin.conf $HOME/.kube/config $ grep 'client-certificate-data' ~/.kube/config | head -n 1 | awk '{print $2}' | base64 -d >> kubecfg.crt $ grep 'client-key-data' ~/.kube/config | head -n 1 | awk '{print $2}' | base64 -d >> k
使用curl访问kubernetes API (https、RBAC认证)
kozazyh的专栏
04-07 7323
1. 我们先创建一个带有集群管理员权限的service account (cicd)用来实验 : 参考:使用service account(sa) 方式 远程访问k8s集群2. 创建一个POD ,并配置该pod 使用 cicd sa :mac-temp:curl test$ cat ./deployment.yaml apiVersion: extensions/v1beta1 kind: De...
Kubernetes 安全之访问控制 API 请求访问控制和认证
小楼一夜听春雨,深巷明朝卖杏花
03-27 817
本文将主要分享以下三方面的内容: Kubernetes API 请求访问控制 Kubernetes 认证 Kubernetes RBAC Security Context 的使用 一、Kubernetes API 请求访问控制 访问控制 大家都知道访问控制是云原生中的一个重要组成部分。也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段。 那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作。这里的资源就是在 Kubernetes 中我们.
纯手工搭建kubernetes(k8s)1.9集群 - (三)认证授权和服务发现
weixin_34303897的博客
04-10 343
1. 理解认证授权 1.1 为什么要认证 想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。 防止什么问题呢?是防止有人***你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了。 其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取...
如何使用curl访问k8sapiserver
chikuai9995的博客
06-24 1578
使用TOKEN授权访问api-serverk8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名...
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
k8s关键知识点:etcd集群、证书配置与apiserver详解
"k8skubernetes)相关重要知识点,包括etcd集群的部署、k8s证书管理、自签证书的重要性和apiserver配置,以及kubeconfig文件的生成" Kubernetes,简称k8s,是一个开源的容器编排系统,用于自动化容器化应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈鸿圳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值