Kubernetes 用户管理, ApiServer 新增集群用户

于 2024-01-04 16:46:41 发布
阅读量518 收藏 10
点赞数 17
分类专栏: kubernetes Security 文章标签: kubernetes 容器 云原生 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51964671/article/details/135369043
版权
本文详细介绍了在Kubernetes环境中如何使用OpenSSL生成CSR、请求证书、创建kubeconfig,以及为用户分配角色和权限的过程。重点在于证书签名请求(CSR)中的CN和O字段对权限控制的影响。
摘要由CSDN通过智能技术生成

在这里插入图片描述

博客原文

文章目录

生成 key

$ openssl genrsa --out mkt.key 2048

根据 key 生成 csr

CN: 为 mkt

$ openssl req -new -key mkt.key -out mkt.csr -subj "/CN=mkt"

把 csr 发给 apiserver 的 ca 生成 crt

$ openssl x509 -req -in mkt.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out mkt.crt -days 1095
Signature ok
subject=CN = mkt
Getting CA Private Key

生成文件:

root@master1:~/tmp# ls
mkt.crt  mkt.csr  mkt.key

查看证书

$ openssl x509 -in mkt.crt -text -noout

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            01:60:fb:9a:ce:5e:59:28:b0:e3:d6:76:90:99:eb:52:41:a5:b9:86
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = kubernetes
        Validity
            Not Before: Jan  3 06:44:53 2024 GMT
            Not After : Jan  2 06:44:53 2027 GMT
        Subject: CN = mkt
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:d2:52:66:f1:f9:66:b6:9d:26:12:0e:1b:87:5d:
                    38:bb:56:a3:b0:ce:e1:49:91:b5:f5:cb:35:28:93:
                    1f:c8:55:7c:db:21:fc:84:ba:e9:15:27:e6:f9:fb:
                    38:19:0c:73:7a:0b:71:85:d9:66:f4:e4:5e:1c:3b:
                    6f:ea:b4:2b:e7:42:45:b2:96:fb:b9:74:97:f0:58:
                    e7:ec:dd:04:54:05:81:37:45:e8:e1:13:d5:01:2e:
                    7e:34:48:63:63:56:90:b1:83:a7:79:c7:76:ee:03:
                    9c:1a:f6:e0:18:86:7b:12:54:c6:0f:fc:d3:63:4e:
                    62:f3:bc:ad:4a:c7:5e:a0:73:88:1e:df:46:72:c8:
                    e2:84:11:5c:07:0c:23:58:81:f5:6d:15:9e:1c:48:
                    fa:f5:76:1a:2b:0f:56:90:76:4f:06:3a:74:af:15:
                    87:23:c1:cf:04:69:fd:a1:91:d2:53:64:f8:02:da:
                    58:59:f2:ce:13:b2:40:91:da:fe:4d:2f:24:bf:fe:
                    6a:b7:ff:01:d8:4b:04:02:ab:f2:d6:e6:c2:61:af:
                    12:1e:53:ad:1a:cc:07:ee:f5:f1:d1:84:ef:67:01:
                    ba:80:cf:21:61:87:bc:bb:d9:e6:25:de:b4:d7:23:
                    76:67:bb:b0:db:89:d0:53:c6:13:fa:31:30:32:5e:
                    ba:f3
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         86:3a:a2:70:d1:10:88:4f:b7:16:2b:76:37:52:2b:7d:c0:0b:
         34:f9:fa:d3:ca:19:be:e8:20:5a:d6:e8:dd:19:46:4b:85:dd:
         b2:aa:74:3a:61:b1:96:a6:1c:8e:3c:fc:1f:5f:17:28:6e:0e:
         cc:be:e8:f9:f9:2f:02:cb:47:89:34:a3:9b:6b:d2:e6:3e:a4:
         e3:99:c4:cd:f9:2b:fe:bc:79:e1:d2:02:84:a3:e0:6c:90:e4:
         c9:76:1e:d8:52:56:96:61:f6:83:8d:f5:41:6f:50:49:ab:08:
         24:32:e5:b1:1c:16:88:39:2e:a9:38:93:cd:32:df:f8:dc:c2:
         32:c1:3d:14:fd:cf:ac:42:74:53:47:a9:e1:20:fc:88:3a:e3:
         87:c7:b0:49:b2:46:11:0a:9f:1a:f3:d6:c4:1e:2d:7c:68:75:
         87:08:43:ff:95:20:46:f3:8a:61:cc:54:72:bf:81:d8:2b:92:
         f1:0d:f8:ae:2e:b9:16:f1:f0:b3:a7:8e:0a:93:c4:0b:a1:c4:
         c3:bd:58:a0:e2:e1:f8:96:40:12:cd:de:97:54:a3:14:4c:fe:
         37:61:e2:83:1b:50:2e:f9:a3:96:3e:6d:d2:09:67:56:63:07:
         98:8c:14:33:69:e1:24:66:d2:20:33:2e:30:8f:92:a9:61:02:
         7a:1a:97:49

查看 kubeconfig

$ kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://11.0.1.150:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED

创建 k8s 用户

$ kubectl config set-credentials mkt --client-certificate=mkt.crt --client-key=mkt.key --embed-certs=true
User "mkt" set.

查看 kubeconfig

$ kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://11.0.1.150:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED
- name: mkt
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED

查看 pod

$ k get po -A --user mkt
Error from server (Forbidden): pods is forbidden: User "mkt" cannot list resource "pods" in API group "" at the cluster scope

新建一个 context

$ k config set-context mkt@kubernetes --cluster kubernetes --user mkt

切换 context

$ k config use-context mkt@kubernetes

$ k get po -A  # 默认用户已为 mkt
Error from server (Forbidden): pods is forbidden: User "mkt" cannot list resource "pods" in API group "" at the cluster scope

其中 “mkt” 是 csr 中的 CN

为用户绑定 role

# 创建 2 个 user
$ kubectl config set-credentials user1 --client-certificate mkt.crt --client-key mkt.key --embed-certs=true
$ kubectl config set-credentials user2 --client-certificate mkt.crt --client-key mkt.key --embed-certs=true

# 创建 clusterrole
$ kubectl create clusterrole podsOwe --verb='*' --resource=pods

# 创建 clusterrolebinding
$ kubectl create clusterrolebinding pods-binding --clusterrole=podsOwe --user=mkt

查看 pod

$ kubectl get po -A --user=user1
$ kubectl get po -A --user=user2

calico-apiserver   calico-apiserver-69fc754d76-9w7p6         1/1     Running            4 (103m ago)   3d23h
calico-apiserver   calico-apiserver-69fc754d76-kdxt4         1/1     Running            4 (103m ago)   3d23h
calico-system      calico-kube-controllers-b9dcc57c4-gzlhk   1/1     Running            4 (103m ago)   3d23h
calico-system      calico-node-5jckf                         1/1     Running            4 (103m ago)   3d23h
calico-system      calico-node-gq882                         1/1     Running            4 (103m ago)   3d23h
calico-system      calico-node-zksvz                         1/1     Running            4 (101m ago)   3d22h
calico-system      calico-typha-5cdb9d5d59-tnjzh             1/1     Running            4 (103m ago)   3d23h
calico-system      calico-typha-5cdb9d5d59-z7tnk             1/1     Running            4 (101m ago)   3d22h
calico-system      csi-node-driver-j4648                     2/2     Running            8 (103m ago)   3d23h
calico-system      csi-node-driver-jf548                     2/2     Running            8 (101m ago)   3d22h
......

我们是把 rolebinding 绑给的 mkt, 但user1, user2均能获取 pod

说明: 关键的是 csr 的 “CN”

补充: 如果有分组的话, 就看 csr 的 “O”

M·K·T
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于kubernetes构建Docker集群管理详解
03-03
Kubernetes是Google开源的容器集群管理系统,基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件,目前最新版本为0.6.2。本文介绍如何基于Centos7.0构建Kubernetes平台,在...
sample-apiserver:自定义Kubernetes APIapiserver的参考实现
04-29
CRD :如果您只想向kubernetes集群添加资源,请考虑使用自定义资源定义(也称为CRD)。 他们需要较少的编码和重新定级。 了解自定义资源定义与扩展API服务器之间的区别。 Apiserver-builder :如果要构建扩展API...
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
longchangfeng的博客
02-23 1125
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
安装最新版Calico
热门推荐
wvxvsuizhong的博客
04-09 1万+
进入calico网站: Install Calico networking and network policy for on-premises deployments 如下找到Calico.yaml的下载连接,执行: curl https://projectcalico.docs.tigera.io/manifests/calico-etcd.yaml -o calico.yaml 下载好calico.yaml. 编辑calico.yaml里的Secret段,data下定义的证书.
一次calico问题排查
qq_44397993的博客
04-22 2140
k8s集群出现一台主机calico重启,无法重新添加路由 当时查看了下kubelet的日志,发现有报错证书无效,查看了集群内其它环境主机,路由都正常,按理说不应该是证书无效才对 开始看下calico的日志,发现有报Liveness probe failed: calico/node is not ready: bird/confd is not live: exit status 1 /BIRD is not ready: Error querying BIRD: unable to connect to.
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2761
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
运维实战 kubernetes(k8s) 之 service
weixin_54720351的博客
06-14 1万+
@[TOC]( 运维实战 kubernetes(k8s) 之 service ) 1. service Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。 service默认只支持4层负载均衡能力,没有7层功能。(可以通过Ingress实现) service的类型: ClusterIP:默认值,k8s系统给service自动分配的虚拟IP,只能在集群内部访问。 NodePort:将Service通过指定的Node上的端口暴露给外部,访
Kubernetes容器集群管理系统调研与对比
01-20
5. **API Server**:Kubernetes API Server集群的中心接口,处理REST请求,与etcd(一个分布式的键值存储系统)交互以存储和更新集群状态。 6. **Scheduler**:调度器负责将未调度的Pod分配到合适的节点,可根据...
声明式Kubernetes集群生命周期管理API介绍.pptx
10-19
用户可以在管理集群中创建这些资源的实例,管理集群是一个运行Cluster API组件的Kubernetes集群。而工作负载集群则是由Cluster API根据用户定义的资源描述信息创建的,用于部署和运行应用程序的Kubernetes集群。 ...
可能是史上最全的Kubernetes证书解析
Qinng的博客
04-25 8319
为了避免广告法,题目还是加个可能吧。 想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求,今天我们就来看一看Kubernetes中的证书。 k8s证书分类 在说证书之前,先想想作为集群的入口apiserver需要提供那些服务,与那些组件通信,通信的两方可能需要配置证书。 与apiserver通信的组件大体可以分为以下几类: clien...
(二进制安装)k8s1.9 证书过期及开启自动续期方案.md
可可飞扬的博客
03-19 1万+
kubelet证书过期处理方案 集群中某node状态为notReady,apiserver 报错Unable to authenticate the request due to an error: x509: certificate has expired or is not yet valid 1 查看证书有效期 openssl x509 -in /etc/ssl/k8s/kubelet.cr...
k8s CRD相关
fourierr的博客
07-21 8262
1、CRD的意义 Kubernetes 1.7之后,提供了CRD(CustomResourceDefinitions)自定义资源的二次开发能力来扩展kubernetes API,通过此扩展可以向kubernetes API中增加新的资源类型,会比修改kubernetes apiserver的源代码或创建自定义的apiserver来的更加的简洁和容易, 2、在k8s上创建资源的过程 用户创建一个资源,实际上是把k8s抽象的资源根据资源清单(yaml文件)做实例化。具体过程如下...
《k8s中的网络安全丨PKI知识梳理》
u010389826的博客
05-06 2059
pki体系讲解与k8s中的证书机制
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
board crt_容器编排系统K8s之Dashboard部署
weixin_39673184的博客
01-13 147
前文我们了解了k8s的访问控制第三关准入控制相关插件的使用,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14220402.html;今天我们来了解下k8s的web ui 组件的安装和用户授权相关话题;k8s的webui是一个插件运行在k8s之上,以pod的方式提供服务;它能够给使用k8s用户提供一个web面板,我们可以基于这个web面板来管理k8s集群;...
一起来学k8s 14.kubernetes config
隔壁小翔
07-14 595
kubernetes config 环境 192.168.48.101 master01 192.168.48.201 node01 192.168.48.202 node02 查看config文件 [root@master01 ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authori...
K8s安全总结
liukuan73的专栏
12-05 8843
1. 预备知识1.1 kubernetes api相关知识Kubernetes API集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
傻傻分不清楚的kubernetes证书
github_35614077的博客
04-05 1550
傻傻分不清楚的kubernetes证书 kubeadm 生成的一坨证书是不是让人很蒙逼,这些东西没那么神奇,来深入扒扒其内裤。 root@k8s-master:/etc/kubernetes/pki# tree . |-- apiserver.crt |-- apiserver-etcd-client.crt |-- apiserver-etcd-client.key |-- apiserver....
Calico 网络策略深度解析
云原生实验室
03-14 1884
本文主要探讨 Calico 项目如何实现 Kubernetes 的网络策略(Network Policy)。网络策略是一种以应用为中心的结构,设置规则来指定 Pod 如何与各类网络“实体”...
如何设置Kubernetes集群中的APIserver
最新发布
05-17
Kubernetes集群中,API Server是控制平面中最重要的组件之一,它是所有组件的入口点,用于管理整个集群API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群中的资源。因此,正确地配置API ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M·K·T

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值