【多用户】k8s多用户配置 kubeconfig

最新推荐文章于 2024-05-13 18:26:45 发布
最新推荐文章于 2024-05-13 18:26:45 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: Kubernetes学习笔记 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24433609/article/details/127111669
版权

参考

一、kubeconfig 介绍

-[appuser@k8s-master-1 ~]$ cat /etc/kubernetes/kubeconfig 
apiVersion: v1
kind: Config
clusters:
- name: shjq-dev01-chenqiang-cluster
  cluster:
    server: https://10.130.14.155:443
    certificate-authority: /etc/kubernetes/ssl/ca.crt
users:
- name: shjq-dev01-chenqiang-user
  user:
    client-certificate: /etc/kubernetes/ssl/cs_client.crt
    client-key: /etc/kubernetes/ssl/cs_client.key
contexts:
- context:
    cluster: shjq-dev01-chenqiang-cluster
    user: shjq-dev01-chenqiang-user
  name: shjq-dev01-chenqiang
------
# 上面为 指定目录格式
# 我们要配置成单个 kubeconfig 配置文件,我们需要做如下操作:
- 修改 certificate-authority 成 certificate-authority-data
- 修改 client-certificate 成 client-certificate-data
- 修改 client-key 成 client-key-data
- 对 /etc/kubernetes/ssl/ca.crt, cs_client.crt, cs_client.key 进行 base64 编码,分别执行 /etc/kubernetes/ssl/ca.crt|base64 等。
-------
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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 # 太长了 有删减
    server: https://10.130.14.155:443
  name: shjq-dev01-chenqiang-cluster
contexts:
- context:
    cluster: shjq-dev01-chenqiang-cluster
    user: shjq-dev01-chenqiang-user
  name: shjq-dev01-chenqiang
current-context: shjq-dev01-chenqiang
kind: Config
preferences: {}
users:
- name: shjq-dev01-chenqiang-user
  user:
    client-certificate-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUVBakNDQWVvQ0NRQ0NhYWdFUnFmNExEQU5CZ2txaGtpRzl3MEJBUXNGQURCbE1Rc3dDUVlEVlFRR0V3SkQ # 太长了 有删减
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFcEFJQkFBS0NBUUVBeUI4djN5YjlqRmxRU0x3L1FYaVUycFdGck5jNjB0bmp1ZVh5N3gvNTZOcXNpOUhwCjdlSzZaSG5LL1JabDcxZUltS0tPNjhrVm9aSUZsRmx2UTJMWmtJMkVrYXpndHNrdnpvQ3l4aEhQSndIV01sRloKQ1dndDFXVHdkTm93emI1ZEtpSnhGbHFvWlJtZ3BBMGJ # 太长了 有删减
  • 以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息
三大部分
clusters用于集群认证Server 字段: 存储集群的地址
证书路径(certificate-authority: /etc/kubernetes/ssl/ca.crt)或
证书内容(certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUZuVENDQTRXZ
可以有多个 cluster 集群
users用于用户认证存储用户的证书、密钥(两种形式,路径或内容)
证书形式
client-certificate: /etc/kubernetes/ssl/cs_client.crt
client-key: /etc/kubernetes/ssl/cs_client.key
密钥token形式:
client-certificate-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0
client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktL
可以有多个 user 用户
context上下文,用户和集群的组合采用某个 context :表示采用某个用户去管控某个集群
默认情况是,采用 admin 用户管控集群,具有所有资源的创建权限

二、明确一个问题

  1. 由于 RBAC 机制,ServiceAccount 可以(通过Rolebinding或 ClusterRolebinding)具有(Role 或 ClusterRole 定义的)某些权限
  2. 那么在默认 context 下(就是 admin user)下,创建一个具有 pod create 权限的 ServiceAccount,接下来使用该 ServiceAccount 去创建 Pod 等,并不能说是该 ServiceAccount 在管控集群,实际上仍是 admin user 在管控集群,所以此时不能成为 k8s 多用户管控集群
    • 因为在该 k8s 环境中,仍可以创建 deployment 、Service、daemonset 等资源
    • 若是该 ServiceAccount 管控集群,在k8s环境中,应该只能创建 pod

所以可以这么理解

  • cluster 多集群
  • user 多用户,user 的权限(可绑定 ServiceAccount,进行权限限制,下文将讲如何用 ServiceAccount 创建 User)
  • context 表示使用用户管控集群(该集群的最大权限就是用户的权限)

在这里插入图片描述

  • SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作 Role 所在 namespace

  • 可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)

  • SA 通过 RoleBinding 绑定 ClusterRole, 具有 ClusterRole 权限,只能操作 SA 所在的 namespace

    • 可以实现 SA 在所在 namespace 具有高权限,但不能跨出当前 namespace

  • SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作所有 namespace 和集群资源

  • 没有 ClusterRoleBinding 与 Role de 组合

三、使用 ServiceAccount 创建 kubeconfig 中的 User

3.1 创建 ServiceAccount 获取 Token

  1. 首先创建 role 或 clusterrole 进行权限定义
  2. 之后创建 ServiceAccount 用于与 role 或 clusterrole 绑定
  3. 最后取出 ServiceAccount 对应的 Token (创建 serviceaccount 时会自动创建个同名的 secret 并挂载上,其用于访问集群)
# 简单举例
# 创建命名空间
kubectl create ns ns-sa
# 创建 serviceaccount
kubectl create sa sa-test -n ns-sa
# 创建 role 赋予某些权限  也可以通过 yaml 编写
kubectl -n ns-sa create role role-1 --verb=get,list --resources=Pod,Deployment -n test-sa
# 绑定 赋予 sa 权限
kubectl -n ns-sa create rolebinding sa-rolebinding-1 --role=ns-sa:role-1 --serviceaccount=sa-test

# 获取 sa 的 token  
# 首先查看对应的 secret
kubectl -n ns-sa get secret | grep sa-test  # 获知 secret 的名称 如 sa-test-token-gz2jr
# 然后获取 token 
kubectl -n ns-sa describe secret sa-test-token-gz2jr
# 或
kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d # 这种方法  后面可能多个 % 删除就好

3.2 创建 k8s user 管控

实际上就是创建个 user,使用的是上面 ServiceAccount 的 Token

第一步:设置一个账号鉴权信息(创建一个k8s user)

上面的<TokenOfSecret>的内容就是我们上面通过kubectl describe secret获取到的 Token 值,注意指定的值两边没有 符号

$ kubectl config set-credentials test-user(自定义) --token <TokenOfSecret>

第二步:设置集群的访问信息

  1. 若配置访问已有的集群信息,忽略此步

  2. 若添加新集群,则需要添加下面信息

$ kubectl config set-cluster new-cluster-name(自定义) --server https://10.192.0.2:6443 --certificate-authority /home/shiyanlou/ca.crt --embed-certs=true

Cluster "new-cluster-name" set.

第三步:创建一个 Context,把集群信息和鉴权信息绑定在一起

# 采用了自己的集群 minikube
$ kubectl config set-context your-context-name(自定义) --cluster minikube --user test-user

Context "your-context-name" created.

第四步:使用这个创建的 Context

$ kubectl config use-context your-context-name

Switched to context "your-context-name".

通过以上步骤的设置,我们就可以在本地通过 kubectl 使用我们创建的 ServiceAccount 来调用 API 接口,访问集群中资源的信息了。

好了,让我们来简单查看下默认命名空间 default 中的 Pod 列表

$ kubectl get pods

Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:default:shiyanlou-admin" cannot list pods in the namespace "default"

为什么会出现此信息?

  • 因为我们 role 赋予的权限是在 ns-sa 命名空间下查看 pod,因此无法获取 default 空间下的 pod

3.3 利用 mac 用户进行管控

因为 mac 用户不是 k8s user,所以不太清楚怎么利用mac user 创建 contxt

此处测试 mac user 与 clusterrole admin 绑定,验证是否有创建pod权限

  1. 新建mac 用户 yeah

  2. 赋予权限

    • # 绑定 admin clusterrole
k create clusterrolebinding test-sa-admin2 --user=yeah --clusterrole=admin

  3. 验证权限

    • # 验证是否授权成功
kubectl auth can-i create pods --namespace default --as yeah

四、命令总结

  • kubeconfig配置文件可通过kubectl config命令进行设定
kubectl config view #打印文件内容
kubectl config set-cluster # 设置clusters段
kubectl config set-credentials # 设置users段
kubectl config set-context # 设置contexts段
kubectl config set-use-context # 设置current-context段
  • 获取secret的token
# 创建 serviceaccount 时会自动创建个同名的 secret 并挂载上,其用于访问集群
kubectl -n kube-system get secret|grep admin-token
# 用 jsonpath 方式获取 token 的值
kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|base64 -d
  • 使用指定用户创建资源
# mac 用户
$ k apply -f 1sysctl.yaml  --as=yeah
# 使用 ServiceAccount
$ k apply -f 1sysctl.yaml --as system:serviceaccount:default:sa-test1
  • 验证用户是否有某些权限
# 测试权限 因为 k8s User 绑定的 serveraccount, 所以 k8s User 本身并没有权限
$ kubectl auth can-i create pods --namespace default --as user-test1
no
# ServiceAccount 才有权限
$ kubectl auth can-i create pods --namespace default --as system:serviceaccount:default:sa-test1
yes
oceanweave
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5、 k8s集群手动部署笔记之Kubeconfig文件配置
maggie_up
07-12 2306
Kubeconfig 需要配置如下 TLS Bootstrapping Token kubelet kubeconfig kube-proxy kubeconfig 下载kubectl kubectl下载地址:https://kubernetes.io/docs/tasks/tools/install-kubectl/ 我测试选择的是安装kubectl二进制文件 linux最新版本下载...
k8s学习: kubeconfig文件详解
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
[Kubernetes] kubeconfig 进行多集群管理
最新发布
959
05-13 384
kubeconfig 介绍
Kubernetes配置 kubeconfig
小侠客的专栏
10-23 2242
kubernetes配置
k8skubeconfig配置以及使用详解
墨鸦的博客
08-03 8558
k8skubeconfig配置以及使用详解
超详细的kubeedge与kubernetes(k8s)环境配置教程
zhangshihao11的博客
05-14 2611
云端只部署一个master node,边缘部分部署一个edge node。云中的集群节点可以后续扩展,边缘节点也可以后续扩展。本文没有申请云的node节点,但给出了云node节点加入的操作,后续可以自行根据自己的需求场景来结合。
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
k8s-for-docker-desktop.zip
10-21
2. **配置文件**:可能包含kubeconfig文件,这是连接到Kubernetes集群的必要配置,用户可以通过设置`kubectl`的配置来与集群交互。 3. **Docker Desktop配置脚本**:可能是一些自动化脚本,用于帮助用户配置Docker ...
k8s
02-12
在“multi-k8s-master”这个压缩包中,很可能包含了一个或多套Kubernetes集群的配置文件、脚本或示例代码,帮助用户理解和实践在不同环境中管理多个Kubernetes集群。通过学习这些资料,你可以深入掌握如何在...
内网服务器加入k8s集群部署文件
02-18
同时,设置kubeconfig文件,定义用户、角色和权限。 5. **加入工作节点**:使用kubeadm的`join`命令,将内网服务器加入到集群中。这个过程会将工作节点的配置信息同步到主节点,并将必要的认证信息发送给工作节点。...
kubeadm方式部署k8s
02-11
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种简单、可靠的方式来在集群中初始化节点和搭建控制平面,使得部署Kubernetes变得...
什么是k8s上下文?kubeconfig配置文件讲解
MssGuo的博客
12-18 2025
环境:在计算机领域中,开发工程师进行代码开发的时候,我们经常会听到上下这个概念,那么,什么是上下文? 上下文,英文单词是context,释义为:背景,环境,上下文,语境。 context上下文可以被看作是传递信息的桶。 它通常用于传递不一定直接绑定到方法调用的东西,但仍然可以是相关的。 例如,你正在编写C#程序,那么可以将多个mysql的链接信息定义为上下文,这样,当代码里需要更新数据时,就可以通过调用上下文来链接到指定的数据库了。在k8s中,上下文(context)是集群信息、用户和命名空间的组合这样一个
kubernetes多用户的实践
lswzw的博客
02-07 1249
kubernetes多用户的实践 有时候需要多个用户共用一个集群,这种情况需要为其分配一个新的用户;为了集群的安全性还需要限制新用户的权限范围;多个用户难免会有资源竞争的情况,这时还需要限制其资源使用。 Kubernetes提供了一系列机制以满足多用户的使用,包括多用户,鉴权,命名空间,资源限制等等。 接下来将创建一个名为staight的用户,其拥有practice命名空间下的管理员权限,该命名空间有着CPU,内存,Pod数量等限制。 创建用户 Kubernetes中的用户创建大体包括静态创建和动态创
(5)二进制文件方式部署Kubernetes高可用集群----------创建kubeconfig文件Token.csv随机数文件
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
06-25 2642
Kubelet、kube-proxy等node节点上的进程与maser节点的kube-apiserver进程通信时需要认证和授权,所以需要生产相应的配置信息。在master节点上创建kubeconfig文件,然后将其拷贝至node节点上。 4 创建kubeconfig文件 4.1 创建TLS BOOTSTRAP Token 【1】生成token的随机数: Token可以是任意的包含128b...
一文清晰理解 kubeconfig | 使用 kubeconfig 进行多集群管理 | context关系理解
aifeier的博客
01-02 1777
一文直接学会如何通过配置 kubeconfig 管理多集群
Kubernetes (K8s)安装部署过程(三)之证书kubeconfig文件创建
云深海阔专栏
08-13 1464
说明   安装kubelet工具,参考:https://jimmysong.io/kubernetes-handbook/practice/kubectl-installation.html 安装并赋予可执行权限,继续进行操作: 1、创建TLS bootstrapping Token,即token.csv文件 # export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') # cat > token.c
配置多用户连接k8s
weixin_42715225的博客
08-18 937
配置多用户连接k8s
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s 生成一个用户,同时生成一个连接k8s配置文件
06-01
要在 Kubernetes 中生成一个用户并生成一个连接 Kubernetes ... $ kubectl --kubeconfig=kubeconfig.yaml get pods ``` 上述步骤应该可以帮助您生成一个 Kubernetes 用户并生成一个连接 Kubernetes 集群的配置文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值