创建用户认证授权的 kubeconfig 文件

已于 2022-08-17 15:34:03 修改
阅读量1k 收藏 1
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 云原生
于 2022-08-17 15:17:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fushan2012/article/details/126386146
版权

创建用户认证授权的 kubeconfig 文件

当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就需要对用户的身份进行认证和对其权限做出限制。

Kubernetes中账户区分为:User Accounts(用户账户) 和 Service Accounts(服务账户) 两种:

  • UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,使用kubectl命令时用的就是UserAccount账户;UserAccount是全局性。在集群所有namespaces中,名称具有唯一性,默认情况下用户为admin;
  • ServiceAccount是给运行在Pod的程序使用的身份认证,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;ServiceAccount仅局限它所在的namespace,每个namespace都会自动创建一个default service account;创建Pod时,如果没有指定Service Account,Pod则会使用default Service Account。

前提

  • 使用kubeadm安装的集群,所有的证书文件都在/etc/kubernetes/pki目录下
  • 可以访问kubernetes集群,并用于最高管理员权限

通过服务账户创建

获取集群的api

USER=test
NAMESPACE=test
export KUBE_APISERVER=`kubectl config view -ojsonpath='{.clusters[0].cluster.server}'`

创建一个sa用户

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ServiceAccount
metadata:
  name: ${USER}
  namespace: ${NAMESPACE}
  labels:
    sa: ${USER}-${NAMESPACE}
EOF

获取该用户的token

DASH_TOCKEN=$(kubectl -n ${NAMESPACE}  get secrets `kubectl get sa -n ${NAMESPACE} -l sa=${USER}-${NAMESPACE} -ojsonpath={.items[0].secrets[0].name}` -o jsonpath={.data.token} |base64 -d)

1、创建角色role.yaml

在 RBAC API 中,一个角色包含了一套表示一组权限的规则。 权限以纯粹的累加形式累积(没有” 否定” 的规则)。 角色可以由命名空间(namespace)内的 Role 对象定义,而整个 Kubernetes 集群范围内有效的角色则通过 ClusterRole 对象实现。

cat <<EOF | kubectl apply -f -
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: ${NAMESPACE}  #执行命名空间
  name: ${USER}   #role名字
rules:
- apiGroups: ["*"]
  resources: ["*"]  #可操作资源
  verbs: ["get","watch","list","create","update","patch","delete"]  #可以操作动作
EOF

2、创建角色绑定rolebinding.yaml

cat <<EOF | kubectl apply -f -
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name:  ${USER}
  namespace: ${NAMESPACE}
subjects:
- kind: ServiceAccount
  name: ${USER}
  namespace: ${NAMESPACE}
roleRef:
  kind: Role
  name: ${USER}
  apiGroup: rbac.authorization.k8s.io
EOF

3、更改集群配置和用户上下文环境

kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true --server=${KUBE_APISERVER} --kubeconfig=${USER}-sa.kubeconfig
kubectl config set-credentials ${USER} --token=$DASH_TOCKEN --kubeconfig=${USER}-sa.kubeconfig
kubectl config set-context ${USER}@kubernetes --cluster=kubernetes --user=${USER} --kubeconfig=${USER}-sa.kubeconfig
kubectl config use-context ${USER}@kubernetes --kubeconfig=${USER}-sa.kubeconfig

4、切换角色,进行验证

kubectl get all -n ${NAMESPACE}  --kubeconfig=${USER}-sa.kubeconfig

使用范围:

  • 生成的kubeconfig和token可以给官方的dashboard使用
  • kubectl使用

通过用户账户创建

USER=dev
NAMESPACE=dev
DIR_HOME=$(dirname $(realpath ${BASH_SOURCE[0]}))
export KUBE_APISERVER=`kubectl config view -ojsonpath='{.clusters[0].cluster.server}'`

1、创建证书key

openssl genrsa -out ${USER}.key 2048
openssl req -new -key ${USER}.key -out ${USER}.csr -subj "/CN=${USER}"
openssl x509 -req -in ${USER}.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out ${USER}.crt -days 3650

2、更改集群配置和用户上下文环境

kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true --server=${KUBE_APISERVER} --kubeconfig=${USER}.kubeconfig
kubectl config set-credentials ${USER} --client-certificate=${DIR_HOME}/${USER}.crt --client-key=${DIR_HOME}/${USER}.key --embed-certs=true --kubeconfig=${USER}.kubeconfig
kubectl config set-context ${USER}@kubernetes --cluster=kubernetes --user=${USER} --kubeconfig=${USER}.kubeconfig
kubectl config use-context ${USER}@kubernetes --kubeconfig=${USER}.kubeconfig

3、切换回管理员身份

kubectl config use-context kubernetes-admin@kubernetes

4、创建角色role.yaml

cat <<EOF | kubectl apply -f -
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: ${NAMESPACE}  #执行命名空间
  name: ${USER}   #role名字
rules:
- apiGroups: ["*"]
  resources: ["*"]  #可操作资源
  verbs: ["get","watch","list","create","update","patch","delete"]  #可以操作动作
EOF

5、创建角色绑定rolebinding.yaml

cat <<EOF | kubectl apply -f -
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: ${USER}
  namespace: ${NAMESPACE}
subjects:
- kind: User
  name: ${USER}
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role               
  name: ${USER} 
  apiGroup: rbac.authorization.k8s.io
EOF

6、切换角色,进行验证

kubectl config use-context ${USER}@kubernetes --kubeconfig=${USER}.kubeconfig
kubectl get all -n ${NAMESPACE}

7、切换回管理员身份

kubectl config use-context kubernetes-admin@kubernetes

创建dashboard访问token

创建用户

# dashboard-adminuser.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kubernetes-dashboard

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kubernetes-dashboard

获取 token:

kubectl -n kubernetes-dashboard get secret $(kubectl -n kubernetes-dashboard get sa/admin-user -o jsonpath="{.secrets[0].name}") -o go-template="{{.data.token | base64decode}}"
fushan2012
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes 生成认证文件
zhaoyangjian724的专栏
11-02 398
kubernetes
kubernetes学习:5.创建 kubeconfig 文件
linux_player_c(系统&开发)
04-07 4341
创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证授权,所以需要生成相关的配置信息。在master节点上创建相关kubeconfig文件,然后将文件拷贝到node节点上。 kubernetes 自1.4引入了一个用于从集群级证书颁发机构(CA)请求证书的API。这个a...
【Kubernetes】k8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
最新发布
2301_82056337的博客
04-27 967
–server=https://192.168.59.142:6443——masterIP替换。
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 1754
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
K8s手工创建kubeconfig
小单的博客专栏
02-14 2013
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
使用serviceaccount制作kubeconfig文件
kevin的专栏
03-15 2314
背景 有时为了需要,我们需要给出一些具有特定集群权限的kubeconfig文件,这时我们可以通过使用serviceAccount来制作具有一定集群权限的kubeconfig 下面我们来使用这一技术创建一个只有greenstock命名空间权限的pod读取权限的kubeconfig 代码来源:https://gist.github.com/innovia/fbba8259042f71db9...
通过ServiceAccount创建eks集群的kubeconfig文件来绕过IAM鉴权
kingu_crimson的博客
05-26 1712
至此,我们通过创建 SA 的方式生成了包含其 Secret TOKEN的 kubeconfig文件,并且通过该文件访问 kube- APIserver 能够有效避开 IAM 鉴权,能够加强我们敲 kuebctl命令的体验,并且通过这种方式,也能够根据不同的 clusterrole & role 去生成不同的 kubeconfig 文件做权限的分发。建立 Amazon EKS 的 kubeconfig管理服务账号通过将多个 kubeconfig 文件合并为一个来进行K8S多集群统一管理。
k8s kubectl生成kube-config文件
weixin_30920597的博客
05-18 3094
配置kube配置文件   设置集群参数   kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/ssl/ca.pem --server=https://192.168.1.71:6443   cat ~/.kube/config   apiVersion: v1 clusters:...
K8S创建用户账号User Account并赋予权限
06-12
2. **导入用户证书到kubeconfig**:将生成的用户证书和私钥添加到kubeconfig文件中,这样用户可以通过`kubectl`命令行工具进行身份验证。 三、RBAC角色和权限分配 1. **Role**:定义在特定命名空间内的权限集合,...
K8S1.20.6资源对象监控kube-state-metrics-2.0.0镜像及资源清单文件
12-28
4. **ServiceAccount**: 用于`kube-state-metrics` pod的身份认证授权,确保它可以访问需要监控的资源对象。 5. **Role和RoleBinding**: 定义权限规则,允许`kube-state-metrics`服务账户读取必要的K8S API资源。...
kube-gitops
02-10
4. **环境变量和配置**:可能包含用于连接 Kubernetes 集群、认证授权的环境变量或配置文件。 5. **README 或指南**:解释了如何设置、使用和维护这个 GitOps 解决方案。 实现 GitOps 的关键步骤包括: 1. **...
2、Kubernetes 集群安全 - 认证1
08-04
此外,kubeconfig文件是连接到Kubernetes集群的关键,它包含了集群的CA证书、API Server地址、客户端证书和私钥,以及集群上下文信息。 ServiceAccount是解决Pod访问API Server认证问题的特殊机制。每个Pod可以关联...
kube-cluster-playbooks:用于在centos上创建集群的Ansible剧本
02-15
7. **认证授权**:剧本还会生成必要的密钥和证书,如kubeconfig文件,用于客户端访问集群;以及kubelet的client/server证书,确保安全通信。 8. **测试集群**:部署完成后,你可以通过`kubectl`命令行工具验证...
Kubernetes kubeconfig配置文件详细解读
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
11-23 2万+
kubeconfig配置文件 在node节点上可以执行kubectl命令吗? [root@k8s-node1 ~]# kubectl get node The connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080这个端口是k8s api(kube-apiserver非安全端口)的端口,在master上面可以执行成功其...
关于k8s集群证书1年过期后,使用kubadm重新生成证书及kubeconfig配置文件的变化...
weixin_30379531的博客
08-13 1294
这个证书很重要,不用说。 但手工生成证书,确实工作量大且容易出错。 推荐的方式,是保留/etc/kubernetes/pki目录下的ca.crt,ca.key,sa.crt,sa.key。 这四个文件,前两个是10年过期,后两个没有过期概念,可以保证现有群集的顺利升级证书。 然后,使用kubeadm命令,来解决证书过期问题。 但kubeadm的生成证书和配置的命令,在1.10和...
09-k8s的静态令牌文件认证、数字证书认证Kubeconfig、RBAC和Ingress
Wsjm666的博客
02-13 480
09-k8s的静态令牌文件认证、数字证书认证Kubeconfig、RBAC和Ingress
kubeconfig生成最高权限的token
ab1024249403的博客
02-26 1339
生成kubernetes集群最高权限admin用户的token,并通过kubeconfig文件在其他机器进行访问操作
k8s实践1:kubectl config 命令
weixin_34144450的博客
03-04 2349
1.结合kubectl部署,加强了解kubectl config命令 kubectl config命令,生成集群信息,集群用户用户权限并把这些内容写入kubectl读取的配置文件 部署kubectl时执行的kubectl config命令,见下 [root@k8s-master admin]# source /opt/k8s/bin/environment.sh # 设置集群参数 [root@k...
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6301
kubernetes查看用户token
kubeconfig文件加密成test.enc格式
06-03
好的,可以使用以下命令将kubeconfig文件加密为test.enc格式: ``` openssl aes-256-cbc -in kubeconfig -out test.enc ``` 在执行命令时,需要替换“kubeconfig”为你的kubeconfig文件名。该命令将会要求输入加密密码,以确保只有持有密码的人才能解密该文件。加密后的文件名为test.enc。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值