Kubernetes中的用户权限管理实战【详细步骤】

最新推荐文章于 2024-07-22 08:49:05 发布
最新推荐文章于 2024-07-22 08:49:05 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: kubernetes 文章标签: 运维 kubernetes debian
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/marlinlm/article/details/122118170
版权

生成用户的key

一般来说,用户的key是用户的保密信息,不应该由集群管理员提供,而是用户向集群管理员提供csr文件,不过有时为了方便也由集群管理员统一生成并发放。

linmao@debian-1:/etc/kubernetes/pki$ sudo openssl genrsa -out linmao.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.....+++++
..........+++++
e is 65537 (0x010001)

生成Csr(证书签署请求)

sudo openssl req -new -key linmao.key -out linmao.csr -subj "/O=linmao_corp/CN=linmao"

签署证书

linmao@debian-1:/etc/kubernetes/pki$ sudo openssl  x509 -req -in linmao.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out linmao.crt -days 365
Signature ok
subject=O = linmao_corp, CN = linmao
Getting CA Private Key

复制证书

证书到这一步就已经完成了。现在由集群管理员把证书发放给用户。证书包括:ca.crt,用户名.crt,用户名.key。前边说了,这个用户名.key本来是应该由用户自己生成,然后再把用这个key生成的csr文件给集群管理员进行签署,不过这里假设管理员为了方便,直接帮用户生成了这个key。但这并不是最佳实践。

现在我们通过把证书复制到客户端的电脑来模拟证书发放的过程。

PS C:\Users\marlin\.kube> scp debian1:/etc/kubernetes/pki/ca.crt .
ca.crt                                                                                100% 1099    95.3KB/s   00:00
PS C:\Users\marlin\.kube> scp debian1:/etc/kubernetes/pki/linmao.crt .
linmao.crt                                                                            100% 1017   248.0KB/s   00:00
PS C:\Users\marlin\.kube> scp debian1:/etc/kubernetes/pki/linmao.key .
linmao.key                                                                            100% 1679   819.8KB/s   00:00

创建Role/ClusterRole和RoleBinding/ClusterRoleBinding

Role 和 ClusterRole的区别在于,Role需要指定namespace,也就是说,role是与namespace绑定的。而clusterRole则是集群级别的权限,不受namespace限制。我们这里给出ClusterRule和ClusterRoleBinding的例子:

cluster-role.yaml:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-operator
rules:
- apiGroups:
  - ""
  - "batch"
  - "apps"
  resources:
  - pods
  - nodes
  - services
  - cronjobs
  - jobs
  - endpoints
  - deployments
  - namespaces
  - pods/log
  - persistentvolumes
  - configmaps
  - secrets
  verbs:
  - get
  - list
  - watch
  - delete
  - create

cluster-role-binding.yaml: 把上边创建的role绑定到用户linmao身上。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-operator
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: linmao

上边两个文件通过sudo kubectl apply -f 文件名 提交到集群中。

配置客户端

到这里,服务端的配置就全部完成了。现在开始配置客户端。还记得刚才从服务端复制出来的三个文件(ca.crt, linmao.crt, linmao.key)吗?这里需要用到他们了。可以先把这几个文件放在HOME目录下的.kube目录下。

1、创建cluster

C:\Users\marlin>kubectl config set-cluster test-cluster --server=https://192.168.1.195:6443 --certificate-authority=C:\Users\marlin\.kube\ca.crt
Cluster "test-cluster" set.

2、创建user

C:\Users\marlin>kubectl config set-credentials linmao --client-certificate=C:\Users\marlin\.kube\linmao.crt --client-key=C:\Users\marlin\.kube\linmao.key
User "linmao" set.

3、创建context,就是把刚才创建的cluster和user关联起来

C:\Users\marlin>kubectl config set-context linmao@test-cluster --cluster=test-cluster --user=linmao
Context "linmao@test-cluster" created.

4、检查刚才创建的内容

CURRENT   NAME                                                                         CLUSTER                                                                      AUTHINFO                                                                     NAMESPACE

          linmao@test-cluster                                                          test-cluster                                                                 linmao

5、测试一下

C:\Users\marlin>kubectl config use-context linmao@test-cluster
Switched to context "linmao@test-cluster".
C:\Users\marlin>kubectl get pods -A
NAMESPACE     NAME                               READY   STATUS    RESTARTS   AGE
common        data-service-589c97fc76-98k5g      1/1     Running   0          133m
default       vscode-884887b4d-wfgsv             1/1     Running   0          11h
kube-system   coredns-6d8c4cb4d-2vp27            1/1     Running   0          11h
kube-system   coredns-6d8c4cb4d-jp5w2            1/1     Running   0          11h
kube-system   etcd-debian-1                      1/1     Running   11         11h
kube-system   kube-apiserver-debian-1            1/1     Running   11         11h
kube-system   kube-controller-manager-debian-1   1/1     Running   7          11h
kube-system   kube-flannel-ds-57bzc              1/1     Running   0          11h
kube-system   kube-flannel-ds-w2f56              1/1     Running   0          11h
kube-system   kube-flannel-ds-xxkr7              1/1     Running   0          11h
kube-system   kube-proxy-b4dnv                   1/1     Running   0          11h
kube-system   kube-proxy-rjlwx                   1/1     Running   0          11h
kube-system   kube-proxy-tl2f4                   1/1     Running   0          11h
kube-system   kube-scheduler-debian-1            1/1     Running   11         11h

成功!

马尔科夫司机
关注
专栏目录
Kubernetes实战:企业级容器编排和管理最佳实践
AI天才研究院
07-14 1813
作者:禅与计算机程序设计艺术 容器技术是近年来非常热门的话题。相比于虚拟机技术,它在部署、运维、资源利用方面都有很大的优势。但是对于容器编排管理来说,要做到像传统的虚拟机一样高度的自动化和高可用,仍然是一个难点。Docker Swarm、Kubernetes等新兴容器编排框架可以帮助企业简化容器集群的创建和维护工作,提升资源的利用率。因此
【云原生之kubernetes实战】k8s环境部署Nginx服务
最新发布
jks212454的博客
08-28 1209
【云原生之kubernetes实战】k8s环境部署Nginx服务
kubeportal:认证和用户管理门户Kubernetes
03-18
Kubeportal后端 官方的最终用户documenation是在这里: 快速启动开发人员 克隆存储库。 运行make web-run开始与Kubeportal后端开发服务器。 润make dev-run开始与Kubeportal后端+ Minikube集成开发服务器。后者必须安装。 开发人员模式会自动与名“root”和密码超级用户帐户“的rootpw。” 你可以创建一个.env项目根配置文件。详情请查阅手册: 运行测试 润make test执行测试套件。您可以添加特定的测试文件,铁的相对路径make test case=kubeportal/tests/test_api.py 。 该测试套件假定机器,其用于尝试群集相互作用上的现有Minikube安装。
Kubernetes 权限管理
weixin_33923762的博客
09-07 282
2019独角兽企业重金招聘Python工程师标准>>> ...
kubernetes用户权限管理详解——普通用户[kubeconfig]
weixin_42236288的博客
04-01 1251
通过多种方式签发证书包括 k8s csr, openssl,cfssl的方式进行签发,由于创建k8s普通用户,从而实现管理k8s权限管理
Kubernetes——服务账号与权限
qq_41358740的博客
02-01 375
kubernetes
Kubernetes权限管理
justlpf的专栏
11-02 245
metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup,就是一组用户的意思。如果为Kubernetes配置了外部认证服务,这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说,其也有用户用户组的概念,其,对于一个,在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组,在。
【云原生】Kubernetes的DaemonSet介绍、原理、用法及实战应用案例分析
热门推荐
景天科技苑
07-22 2万+
Kubernetes(简称K8s)作为容器编排的领导者,提供了多种工作负载控制器来管理集群的Pod。其,DaemonSet是一种特殊的控制器,它确保在集群的每个节点(或指定的节点)上运行一个Pod的副本。这种特性使得DaemonSet非常适合部署集群级别的守护进程或服务,如日志收集器、监控代理等。本文将详细介绍DaemonSet的介绍、原理、用法以及实战应用案例分析。
Kubernetes_K8s的监控与日志管理实战技巧
在当今的云原生应用开发Kubernetes已经成为了最受欢迎的容器编排平台之一。然而,随着应用规模的扩大和复杂度的增加,有效的监控与日志管理变得至关重要。Kubernetes监控与日志管理可以帮助开发人员和运维团队...
Kubernetes集群存储管理实战:持久化存储卷的类型与使用
Kubernetes存储管理是管理Kubernetes集群持久化数据的过程。持久化数据是指存储在集群之外,即使节点或Pod发生故障也能保留的数据。Kubernetes提供了一系列持久化存储卷类型,可用于满足不同的存储需求。 # 2. ...
kubernetes资源管理
博主很懒~
11-15 178
YAML是一个类似 XML、JSON 的标记性语言。它强调以数据为心,并不是以标识语言为重点。因而YAML本身的定义比较简单,号称"一种人性化的数据格式语言"。<wangqing>wangqing:age: 15大小写敏感使用缩进表示层级关系缩进不允许使用tab,只允许空格( 低版本限制 )缩进的空格数不重要,只要相同层级的元素左对齐即可'#'表示注释纯量:单个的、不可再分的值。
Kubernetes — RBAC权限控制
qq_41619571的博客
10-16 801
1. 在Kubernetes,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色的访问控制(Role-Based Access Control)2. “主体”(subject)能够或不能够“操作”(operate)哪个或哪类“对象”(object)。动作的发出者是subject,通常是(User Account),也可以是(Service Account)。“操作”(operate)用于表明执行的具体操作,
kubernetes如何使用自有的用户系统
Not_a_penny_to_name的博客
12-18 582
kubernetes如何使用自有的用户系统 K8s 支持基于第三方的webhook token 的认证方式,有了这套机制可以可以让k8s使用公司现有的用户管理系统无需维护多套。 要支持webhook token 认证需要对api server 进行一下配置 --authentication-token-webhook-config-file 描述如何调用远程认证服务器的配置文件 --authentication-token-webhook-cache-ttl 认证的缓存时间,默认2分钟。 配置文
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户
zsk_john的技术分享专用博客
09-06 1983
这里的set-cluster 可以任意设置,想叫什么集群名字都可以。此命令执行后会在当前目录生成test.kubeconfig这个文件。,用户名称也是前面定义的,这个不能乱写哦,要匹配。cluster 就是前面定义的集群名称。
K8s之权限管理
a13568hki的博客
04-29 4256
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
K8S用户管理体系介绍
singless的博客
08-17 1420
在k8s,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户。
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1512
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
Kubernetes详解(五十)——Kubernetes权限配置
永远是少年
05-09 1707
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。
k8s之创建基于sa的访问凭据kubeconfig文件
学亮编程手记
08-11 1914
K8S 提供了丰富的认证和授权机制,可以满足各种场景细粒度的访问控制。而访问k8s集群是需要通过认证、授权、准入控制三个阶段的。其常见的包括用户使用kubectl客户端工具与kube-apiserver进行交互,那么这就需要kubeconfig凭据。下面会演示如果创建小权限的kubeconfig凭据访问k8s集群某个namespace下的资源。1、集群2、命名空间。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值