kubernetes创建只读用户

已于 2022-11-14 23:39:16 修改
阅读量1.1k 收藏
点赞数 2
分类专栏: Kubernetes 文章标签: kubernetes linux docker
于 2021-02-26 00:30:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javahuazaili/article/details/114109166
版权

一、配置文件说明

1、kubeconfig文件

/root/.kube/config文件内容如下:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUM1后面的省略了。。。。。
    server: https://192.168.1.10:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
    namespace: default
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURFekNDQWZ1Z0F3SUJBZ0lJW后面的省略了。。。。。
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb3dJQkFBS0NBUUVBb2RHMl后面的省略了。。。。。

文件分为三大部分:clusters、contexts、users

clusters 部分

定义集群信息,包括 api-server 地址、certificate-authority-data: 用于服务端证书认证的自签名 CA 根证书(master 节点 /etc/kubernetes/pki/ca.crt 文件内容 )。

contexts 部分

集群信息和用户的绑定,kubectl 通过上下文提供的信息连接集群。

users 部分

多种用户类型,默认是客户端证书(x.509 标准的证书)和证书私钥,也可以是 ServiceAccount Token

client-certificate-data:

base64 加密后的客户端证书

client-key-data:

base64 加密后的证书私钥

二、新建只读用户配置文件

1、生成客户端 TLS 证书

创建证书私钥:

openssl genrsa -out developer.key 2048

openssl req -new -key developer.key -out developer.csr -subj "/CN=developer"

 k8s 集群(API Server)的 CA 根证书文件,一般会在 master 节点的 /etc/kubernetes/pki/  路径下,会有两个文件,一个是 CA 根证书(ca.crt),一个是 CA 私钥(ca.key)

2、通过集群的 CA 根证书和第 2 步创建的 csr 文件,来为用户颁发证书

openssl x509 -req -in developer.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out developer.crt -days 365

至此,客户端证书颁发完毕

三、基于RBAC 授予只读权限

kubectl create clusterrolebinding kubernetes-viewer --clusterrole=view --user=developer

四、基于客户端证书生成 Kubeconfig 文件

拷贝 $HOME/.kube.config,生成新文件名为 developer-config 

/root/.kube/文件夹下操作:

cp -a config developer-config

contexts 部分 user 字段改为 developer,name 字段改为 developer@kubernetes

users 部分 name 字段改为 developer,client-certificate-data 字段改为 developer.crt base64 加密后的内容,client-key-data 改为 developer.key base64 加密后的内容

证书 base64 加密时指定 --wrap=0 参数
cat developer.crt | base64 --wrap=0
cat developer.key | base64 --wrap=0

五、验证

执行命令:

kubectl --kubeconfig developer-config --context=developer@kubernetes -n default get pod

可以正常查到数据,如图:

接下来我们尝试删除一个POD:

kubectl --kubeconfig developer-config --context=developer@kubernetes delete pod flaskapp-1-84fbb4f499-48s7b

提示developer用户删除操作被禁止。

配置完毕。

 

 

valisweet
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
创建对K8s资源对象仅有只读权限的Linux系统用户
weixin_40930677的博客
03-04 664
一. 基础知识: K8s默认采用RBAC鉴权方式,包含4个顶级资源对象,Role/ClusterRole/RoleBinding/ClusterRoleBinding Role/ClusterRole:角色和集群角色,角色/集群角色 = 一组对K8s资源对象操作权限的集合(如get pod,delete deployment等操作均需要权限) RoleBinding/ClusterRoleBinding:角色绑定和集群角色绑定,通过这两种资源对象,可以将Role/ClusterRole与集群中对象进行绑定
kubernetes创建只具有只读权限的账号
qq_37256882的博客
12-20 662
日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。本文创建一个只具有只读权限的ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限。
kubernetes实战篇之创建一个只读权限的用户
weixin_30881367的博客
07-03 270
系列目录 上一节我们讲解到了如何限制用户访问dashboard的权限,这节我们讲解一个案例:如何创建一个只读权限的用户. 虽然可以根据实际情况灵活创建各种权限用户,但是实际生产环境中往往只需要两个就行了一个是前面创建的拥有集群所有权限的用户,另一个是一个拥有只读权限的普通用户.把只读权限分配给开发人员,使得开发人员也可以很清楚地看到自己的项目运行的状况. 在进行本章节之前,大家可以思考一下怎么...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2203
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
kubernetes创建Dashboard只读账号
m0_37732829的博客
03-15 918
vim viewonly-sa.yml --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: admin-viewonly rules: - apiGroups: - "" resources: - configmaps - endpoints - persistentvolumeclaims - pods - replicationcontrollers - repl
为K8S集群建立只读权限帐号
01-18 541
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://pkg.cfs...
4、Kubernetes - Persistent Volume(有StatefulSet的例子)1
08-04
动态PV是当管理员创建的静态PV都不匹配用户的PVC时,集群可能会尝试动态地为PVC创建卷。这种配置基于StorageClasses:PVC必须请求存储类,管理员必须创建配置该类才能进行动态创建。 绑定是指将PVC与PV绑定在一起...
android-kubernetes-blockchain:警告:此存储库不再维护此存储库将不会更新。 该存储库将以只读模式保持可用。 有关其他区块链代码模式,请参阅https:developer.ibm.compatternscategoryblockchain。
02-03
在此代码模式中,我们将创建一个Android应用,该应用使用Kubernetes跟踪具有区块链功能的用户的物理步骤。 使用的区块链框架实现是Hyperledger Fabric。 用户以匿名方式注册到区块链网络,并因其采取的步骤而获得...
香橙派4和树莓派4B构建K8S集群实践之一:K8S安装脚本
07-06
2. 创建Role和RoleBinding:定义用户的权限范围,例如只读权限或管理员权限。 3. 配置kubeconfig:生成或更新用户的kubeconfig文件,该文件包含了访问集群所需的认证信息。 总结起来,使用香橙派4和树莓派4B构建K8S...
ilert-kube-agent
02-28
注意: Google Kubernetes Engine(GKE)用户-GKE具有严格的角色权限,这将阻止创建kube-state-metrics角色和角色绑定。 要解决此问题,您可以通过运行以下单行代码为GCP身份授予cluster-admin角色: kubectl
disk
03-31
4. **动态卷提供者(Dynamic Provisioning)**:如果Kubernetes集群支持动态卷提供,当PVC被创建时,如果没有匹配的PV,系统会自动创建一个新的PV来满足PVC的要求。 5. **访问模式(Access Modes)**:PV和PVC都...
Rancher中创建只有访问项目权限的用户
草莓甜甜圈的博客
10-12 1762
背景:防止开发人员误操作,导致修改rancher中k8s的配置造成生产事故,开发日常操作只需要查看容器日志,所以只给他们访问项目的权限,不给修改创建等操作的权限。 在rancherUI中,在全局下选择“用户”标签,点击“添加用户”。 在项目集群中,选择“成员”标签,点击“添加成员”。这里只需给予查看节点和项目的权限。 创建成功: 测试一下:增删pod副本的请求被拒绝。 ...
云原生|kubernetes|多集群管理之kubeconfig文件配置和使用(定义,使用方法,合并管理多集群)
zsk_john的技术分享专用博客
11-04 5021
kubeconfig文件的使用。
[K8S:命令执行:权限异常:解决篇]:通过更新kubeconfig配置相关信息
最新发布
凡解的博客
08-07 2153
[K8S:命令执行:权限异常:解决篇]:通过更新kubeconfig配置相关信息
二进制安装The connection to the server localhost:8080 was refused - did you specify the right host
wenwentana的博客
10-21 1520
二进制安装k8s报错:The connection to the server localhost:8080 was refused - did you specify the right host or port?
kubernetes实践之二:K8s高可用搭建
技术黑板
07-05 1787
12、K8s高可用搭建 环境规划: 角色 IP 组件 推荐配置 k8s_master etcd01 192.168.1.153 kube-apiserver kube-controller-manager kube-scheduler...
通过kubeconfig文件生成证书,用curl访问Kubernetes API server
海鸥
04-15 2036
Kubernetes是一个完全基于API的系统。使用curl或Postman等简单工具,在构建应用程序之前获取API信息更方便。 1、从查看 kubectl配置文件开始,需要:三个证书和 API server 的地址 # cat /root/.kube/config 2、我们将会把证书设为环境变量,在设置时候请检查每一个参数。我们从 client-certificate-data 开始。 export clientcert=$(grep client-cert ~/.kube/confi
问题处理 --kubeconfig无效
lovely_nn的博客
12-13 4625
问题: 在给Amazon eks 上的集群配置kubectl命令行时,使用aws命令:aws eks --region cn-north-1 update-kubeconfig --name eks-one 给集群自动生成配置文件(默认文件路径/root/.kube/config),报如下错误:Tried to insert into contexts,which is a <class 'NoneType'> not a <class 'list'> 尝试解决方法: 手动创建
"面试准备:k8s知识点与docker工作原理
Docker Client是用户Docker Daemon交互的接口,用户可以使用Docker Client提供的一系列命令来管理和操作DockerDocker Daemon是在宿主机上运行的守护进程,接收来自Docker Client的请求,并管理运行在主机上的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值