基于 kubeconfig 认证的 k8s 用户账号创建案列

最新推荐文章于 2024-08-17 13:16:11 发布
最新推荐文章于 2024-08-17 13:16:11 发布
阅读量902 收藏 16
点赞数 28
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gumc123/article/details/140388713
版权

在 Kubernetes 集群中创建用户账号时,通常会使用 kubeconfig 文件来进行认证和授权,其中 CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制。

  • 系统环境:Anolis OS release 8.8
  • 内核版本:Linux Kernel 5.10.134-13.an8.x86_64
  • Kubernetes 版本:v1.28.3

创建证书签名请求

1、创建用户证书私钥

mkdir user1 && cd user1
openssl genrsa -out user1.key 2048
openssl req -new -key user1.key -out user1.csr -subj "/CN=user1/O=xiaomi"

2、创建证书签名请求文件 user1.csr 对应的 k8s 资源

# 对证书签名请求文件 user1.csr 进行 base64 编码
cat user1.csr | base64 | tr -d "\n"

kubectl apply -f - <<EOF
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: user1
spec:
  groups:
  - system:authenticated
  request:  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
  usages:
  - client auth
  signerName: kubernetes.io/kube-apiserver-client
EOF

# request 字段值为证书签名请求文件的 base64 编码

spec.signerName 在 certificates.k8s.io/v1 之后的 API 版本是必填项。 在 Kubernetes v1.22 和以后的版本,客户可以可选地设置 spec.expirationSeconds 字段来为颁发的证书设定一个特定的有效期。该字段的最小有效值是 600,也就是 10 分钟

垃圾收集器会清除在一段时间内没有改变过状态的 CertificateSigningRequests: 已批准、拒绝、失败的请求将在 1 小时后自动删除,挂起的请求则在 24 小时后自动删除,所有请求颁发的证书过期后自动删除

创建证书

1、查看证书申请

kubectl get csr -o wide
#> NAME    AGE     SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
#> user1   4m53s   kubernetes.io/kube-apiserver-client   kubernetes-admin   <none>              Pending

2、集群管理员手动批准证书申请

kubectl certificate approve user1

kubectl get csr -o wide
#> NAME    AGE     SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
#> user1   5m47s   kubernetes.io/kube-apiserver-client   kubernetes-admin   <none>              Approved,Issued

创建完成的 CertificateSigningRequest,要先通过批准,然后才能签名。 根据所选的签名者,CertificateSigningRequest 可能会被 控制器自动批准。 否则,就必须人工批准, 人工批准可以使用 REST API(或 go 客户端),也可以执行 kubectl certificate approve 命令

3、导出证书到文件

kubectl get csr/user1 -o jsonpath='{.status.certificate}' | base64 -d > user1.crt

ls
#> user1.crt  user1.csr  user1.key

对于已批准的证书,下一步是签名。 对应的签名控制器首先验证签名条件是否满足,然后才创建证书。 签名控制器然后更新 CertificateSigningRequest, 将新证书保存到现有 CertificateSigningRequest 对象的 status.certificate 字段中

创建 kubeconfig 文件

# 设置集群字段,--embed-certs=true 把 CA 证书内容写入到此 kubeconfig 文件里
cp /etc/kubernetes/pki/ca.crt .
kubectl config --kubeconfig=kubeconfig-user1 set-cluster cluster-01 --server=https://192.168.31.31:6443 --certificate-authority=ca.crt --embed-certs=true

# 设置用户字段
kubectl config --kubeconfig=kubeconfig-user1 set-credentials user1 --client-certificate=user1.crt --client-key=user1.key --embed-certs=true

# 设置一个名为 context 的上下文字段
kubectl config --kubeconfig=kubeconfig-user1 set-context context --cluster=cluster-01 --namespace=default --user=user1

# 设置当前上下文为 context
kubectl config --kubeconfig kubeconfig-user1 use-context context

添加用户授权

1、为用户 user1 授予集群超级管理员权限 cluster-admin

# 认证通过,但提示无权限
kubectl get nodes --kubeconfig=kubeconfig-user1
#> Error from server (Forbidden): nodes is forbidden: User "user1" cannot list resource "nodes" in API group "" at the cluster scope

# 创建名为 user1 的集群角色绑定,并将集群角色 cluster-admin 绑定到用户 user1 实现授权
kubectl create clusterrolebinding user1 --clusterrole=cluster-admin --user=user1

kubectl get nodes --kubeconfig=kubeconfig-user1  -o wide
#> NAME   STATUS   ROLES           AGE     VERSION   INTERNAL-IP     EXTERNAL-IP   OS-IMAGE        KERNEL-VERSION           CONTAINER-RUNTIME
#> c1     Ready    control-plane   3d16h   v1.28.3   192.168.31.31   <none>        Anolis OS 8.8   5.10.134-13.an8.x86_64   containerd://1.7.8
#> c2     Ready    <none>          3d16h   v1.28.3   192.168.31.32   <none>        Anolis OS 8.8   5.10.134-13.an8.x86_64   containerd://1.7.8
#> c3     Ready    <none>          3d16h   v1.28.3   192.168.31.33   <none>        Anolis OS 8.8   5.10.134-13.an8.x86_64   containerd://1.7.8

# 查看集群角色 cluster-admin 具有哪些 kube-apiserver 操作权限
kubectl -n kube-system get clusterrole cluster-admin -o yaml

2、特定权限检测

# 验证 user1 用户是否具有 list 当前命名空间里的 pod 的权限
kubectl auth can-i list pods --as user1
#> yes

# 验证 user1 用户是否具有 list 命名空间 kube-system 里 pod 的权限
kubectl auth can-i list pods -n kube-system --as user1
#> yes

3、取消授权,即删除集群角色绑定 user1

kubectl delete clusterrolebinding user1

参考

证书签名请求 CertificateSigningRequest

码字不易,若觉得本文对你有用,欢迎点赞 👍、分享 🚀 ,相关技术热点时时看🔥🔥🔥​​​…

JiaWen技术圈
关注
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2610
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
k8s 带你一步步 创建用户账号(User Account),入职阿里啦
2401_83739472的博客
04-15 1020
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。[root@node-01 ~]# useradd jenkins #创建什么用户名都可以。
K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
08-07 1312
Kubernetes 专题 - 生成特定 Kubeconfig 文件
k8s 带你一步步 创建用户账号(User Account)(1)
2401_83739472的博客
05-15 406
kubectl config use-context #切换context。
k8s创建kubeconfig文件
weixin_45066823的博客
01-19 911
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
创建用户认证授权的 kubeconfig 文件
小云的博客
05-26 840
创建用户认证授权的 kubeconfig 文件 当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个 cby 用户并将其绑定到 cby 和 chenby 的 namespace 为例说明。创建生成证书配置文件 详细见:https://github.com/cby-chen/Kubernetes#2...
K8S根据serveraccount权限生成kubeconfig
u013488094的博客
03-10 822
K8S根据serveraccount权限生成kubeconfig 一、 将如下脚本拷贝到节点上: #!/bin/bash # 文件名: gen.sh set -e set -o pipefail # Add user to k8s using service account, no RBAC (must create RBAC after this script) if [[ -z "$1" ]] || [[ -z "$2" ]]; then echo "usage: $0 <service_ac
K8S--权限管理RBAC/基于kube-config文件登录
weixin_44515412的博客
07-04 258
扩展:RBAC RBAC是基于角色的访问控制(Role-Based Access Control) https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/ #使用RBAC鉴权 https://kubernetes.io/zh/docs/reference/access-authn-authz/authorization/ #鉴权概述
Kubernetesk8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
2301_82056337的博客
04-27 1020
–server=https://192.168.59.142:6443——masterIP替换。
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S创建用户账号(User Account)以及如何为其赋予权限...
基于kube-prometheus-stack部署监控K8S告警系统资源合集
11-08
`kube-prometheus-stack` 是一个流行的 Kubernetes 监控解决方案,它结合了 Prometheus 和 Grafana 的强大功能,提供了全面的 K8S 集群监控和告警能力。本资源合集将详细介绍如何基于 `kube-prometheus-stack` 部署...
Kubernetesk8s user类型账号config文件创建
最新发布
K_sir666的博客
08-17 692
kubectl是 Kubernetes 命令行工具,用于与 Kubernetes 集群进行交互。它允许用户执行各种操作,如部署应用、管理资源、查看集群状态等。–server可以通过命令查看集群API地址的这个命令执行后config文件已生成(kube-dev.config)
Openssl 生成K8s证书和使用
qq_36864672的博客
04-14 588
【代码】Openssl 生成K8s证书和使用
kubernetes用户权限管理详解——普通用户[kubeconfig]
weixin_42236288的博客
04-01 1159
通过多种方式签发证书包括 k8s csr, openssl,cfssl的方式进行签发,由于创建k8s普通用户,从而实现管理k8s权限管理
二进制部署的k8s集群,手动生成kubeconfig的配置文件
qq_34953582的博客
06-20 1061
二进制部署的k8s集群,手动生成kubeconfig的配置文件
kubernetes学习:5.创建 kubeconfig 文件
linux_player_c(系统&开发)
04-07 4401
创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权,所以需要生成相关的配置信息。在master节点上创建相关kubeconfig文件,然后将文件拷贝到node节点上。 kubernetes 自1.4引入了一个用于从集群级证书颁发机构(CA)请求证书的API。这个a...
kuberneteskubectl命令介绍
qq42004的博客
03-16 1420
kubectl是Kubernetes命令行工具,用于与Kubernetes集群进行交互。它允许用户执行各种操作,包括管理容器、部署应用程序、查看集群状态等。kubectl是操作k8s集群的命令行工具,安装在k8s的master节点,kubectl在$HOME/.kube目录中查找一个名为config的文件, 你可以通过设置Kubeconfig环境变量或设置–kubeconfig来指定其他的kubeconfig文件。
k8s集群部署二:flannel网络、为node节点创建kubeconfig文件
热门推荐
lyzkks的博客
04-15 1万+
Overlay Network模式 覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。 VXLAN 将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址。 Flannel 是Overlay网络的一种,也是将源数据包封装在另一种网络包里面进行路...
手动创建二进制部署k8s集群的kubeconfig配置
"这篇内容主要讲述了如何在二进制部署的Kubernetesk8s)集群环境下,手动创建kubeconfig配置文件。kubeconfig文件对于Kubernetes集群的管理和操作至关重要,它包含了连接到集群所需的认证信息、集群地址以及上下文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值