调用k8s api实现添加用户并授权

最新推荐文章于 2024-08-31 09:38:00 发布
最新推荐文章于 2024-08-31 09:38:00 发布
阅读量751 收藏 12
点赞数 10
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31055683/article/details/141671364
版权

调用k8s api实现添加用户并授权

一、k8s中根据用户名创建config文件

在k8s中如果想给一个用户创建授权文件,并让用户可用通过该config文件操作k8s集群,流程如下

1、生成私钥和证书签名请求(CSR)

# 生成私钥
[root@k8s-master01 config]# openssl genrsa -out dujie.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..................................................................+++++
...................................+++++
e is 65537 (0x010001)

# 生成证书签名请求(CSR)
[root@k8s-master01 config]# openssl req -new -key dujie.key -out dujie.csr -subj "/CN=username/O=organization"
[root@k8s-master01 config]# ll
总用量 8
-rw-r--r-- 1 root root  920 725 09:38 dujie.csr
-rw------- 1 root root 1679 725 09:38 dujie.key

2、创建CertificateSigningRequest资源

[root@k8s-master01 config]# kubectl create -f - <<EOF
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: dujie-csr
spec:
  signerName: kubernetes.io/kube-apiserver-client
  groups:
  - system:authenticated
  request: $(cat dujie.csr | base64 | tr -d '\n')
  usages:
  - client auth
EOF

3、查看和审批CSR

[root@k8s-master01 config]# kubectl get csr 
NAME           AGE   SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
dujie-csr      16s   kubernetes.io/kube-apiserver-client   kubernetes-admin   <none>              Pending

[root@k8s-master01 config]# kubectl certificate approve dujie-csr
certificatesigningrequest.certificates.k8s.io/dujie-csr approved

[root@k8s-master01 config]# kubectl get csr 
NAME           AGE   SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
dujie-csr      35s   kubernetes.io/kube-apiserver-client   kubernetes-admin   <none>              Approved,Issued

4、获取已颁发的证书

你获取的是 Kubernetes 集群的 CA(Certificate Authority)证书的 Base64 编码数据。这些数据用于验证 Kubernetes API 服务器证书的根证书。

[root@k8s-master01 config]# kubectl get csr username-csr -o jsonpath='{.status.certificate}' | base64 --decode > dujie.crt

[root@k8s-master01 config]# 
[root@k8s-master01 config]# ll
总用量 12
-rw-r--r-- 1 root root 1123 725 09:40 dujie.crt
-rw-r--r-- 1 root root  920 725 09:38 dujie.csr
-rw------- 1 root root 1679 725 09:38 dujie.key
[root@k8s-master01 config]# cat dujie.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

5、配置kubernetes客户端

[root@k8s-master01 config]# kubectl config set-credentials dujie --client-certificate=dujie.crt --client-key=dujie.key
[root@k8s-master01 config]# kubectl config set-context --current --user=dujie

6、生成config文件

获取集群的ca证书

[root@k8s-master01 config]# kubectl config view --minify -o jsonpath='{.clusters[0].cluster.certificate-authority-data}'
DATA+OMITTED[root@k8s-master01 config]# 


[root@k8s-master01 config]# CA_CERT=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.certificate-authority-data}')

使用以下命令创建一个新的 kubeconfig 文件,其中包含 dujie 用户的凭据信息。假设 API 服务器地址是 https://<api-server-address>:6443,并使用上述命令生成的 CA 证书数据:

cat <<EOF > dujie.kubeconfig
apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority-data: ${CA_CERT}
    server: https://<api-server-address>:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: dujie
  name: dujie-context
current-context: dujie-context
users:
- name: dujie
  user:
    client-certificate: dujie.crt
    client-key: dujie.key
EOF

上面的操作仅仅只是生成一个config文件,并没有对该用户授权。所以还无法操作k8s集群,授权操作自行查询,下面主要演示如何使用go对k8s集群生成授权文件、添加用户并授权等操作。

二、golang中如何创建用户授权文件

初衷:开发一个k8s多集群管理平台,且可以根据当前登录的平台用户对k8s集群资源进行授权操作。

大体流程如下:

  1. 获取k8s客户端:获取k8s客户端对象clientset,通过clientset对k8s Api进行交互,执行创建和管理资源的操作
  2. 生成私钥:生成RSA私钥,用于生成证书请求,并在后续的链接中用于客户端认证
  3. 生成证书请求(CSR):根据传入的用户名和私钥,生成一个证书签名请求(CSR),该CSR中包含了请求证书和公钥和相关的身份信息,然后提交给ca请求签发证书
  4. 创建CertificateSigningRequest资源:用于请求管理员和自动系统批准和签发证书
  5. 审批CSR:为 createResp.Status.Conditions 添加批准条件,并更新 CSR 的审批状态
  6. 等待证书颁发:在一个循环中不断检查 CSR 的状态,看是否已颁发证书
  7. 删除已颁发证书的CSR:在证书颁发后,删除相应的 CSR 对象。

第一步先看下我这里的系统表、集群表、还有集群用户表的结构

集群表:

Users 设置为[]Users 表示1个集群可以被多个用户访问和管理

// k8sCluster表 结构体  K8sCluster
type K8sCluster struct {
	ID                 uint      `json:"id" gorm:"not null;unique;primary_key"`
	UUID               uuid.UUID `json:"uuid" gorm:"comment:集群UUID"`
	Name               string    `json:"name" form:"name" gorm:"comment:集群名称"`
	KubeType           uint      `json:"kube_type" form:"kube_type" gorm:"comment:凭据类型1:KubeConfig,2:Token"`
	KubeConfig         string    `gorm:"type:longText" json:"kube_config" form:"kube_config" gorm:"comment:kube_config"`
	KubeCaCrt          string    `gorm:"type:longText; comment:ca.crt" json:"kube_ca_crt" form:"kube_ca_crt"`
	ApiAddress         string    `gorm:"type:longText" json:"api_address" form:"api_address" gorm:"comment:api_address"`
	PrometheusUrl      string    `gorm:"type:longText" json:"prometheus_url" form:"prometheus_url" gorm:"comment:prometheus 地址"`
	PrometheusAuthType uint      `json:"prometheus_auth_type" form:"prometheus_auth_type" gorm:"comment: 认证类型"`
	PrometheusUser     string    `gorm:"type:longText" json:"prometheus_user" form:"prometheus_user" gorm:"comment:用户名"`
	PrometheusPwd      string    `gorm:"type:longText" json:"prometheus_pwd" form:"prometheus_pwd" gorm:"comment:密码"`
	Users              []User    `json:"users" gorm:"foreignKey:ClusterId;"` # foreignKey指定外键,在Use表有个字段为ClusterId,关联到K8sCluster表的主键字段
	CreatedBy          uint      `gorm:"column:created_by;comment:创建者"`
	UpdatedBy          uint      `gorm:"column:updated_by;comment:更新者"`
	DeletedBy          uint      `gorm:"column:deleted_by;comment:删除者"`
	CreatedAt          time.Time     
	UpdatedAt          time.Time      
	DeletedAt          gorm.DeletedAt `gorm:"index" json:"-"`
}

k8s的User表

type User struct {
	ID             uint           `json:"id" gorm:"not null;unique;primary_key"`
	UUID           uuid.UUID      `json:"uuid" gorm:"comment:用户UUID"`
	Username       string         `json:"userName" gorm:"comment:用户登录名"`
	NickName       string         `json:"nickName" gorm:"default:系统用户;comment:用户昵称"`
	KubeConfig     string         `gorm:"type:longText" json:"kube_config" form:"kube_config" gorm:"comment:kube_config"`
	ClusterRoles   string         `gorm:"type:longText" json:"cluster_roles"`
	NamespaceRoles string         `json:"namespace_roles" gorm:"comment:命名空间权限"`
	ClusterId      uint           `json:"cluster_id" gorm:"comment:集群ID"`
	CreatedAt      time.Time      `json:"created_at"`
	UpdatedAt      time.Time      `json:"updated_at"`
	DeletedAt      gorm.DeletedAt `gorm:"index" json:"-"`
}

平台用户表

type SysUser struct {
	ID        uint           `gorm:"primarykey" json:"ID"` 
	CreatedAt time.Time      
	UpdatedAt time.Time      
	DeletedAt gorm.DeletedAt `gorm:"index" json:"-"` 
	UUID        uuid.UUID      `json:"uuid" gorm:"index;comment:用户UUID"`  
	Username    string         `json:"userName" gorm:"index;comment:用户登录名"`    
	Password    string         `json:"-"  gorm:"comment:用户登录密码"`   
	NickName    string         `json:"nickName" gorm:"default:系统用户;comment:用户昵称"`             
	AuthorityId uint           `json:"authorityId" gorm:"default:888;comment:用户角色ID"`   
	Authority   SysAuthority   `json:"authority" gorm:"foreignKey:AuthorityId;references:AuthorityId;comment:用户角色"`
	Authorities []SysAuthority `json:"authorities" gorm:"many2many:sys_user_authority;"`
	Phone       string         `json:"phone"  gorm:"comment:用户手机号"`                    
	Email       string         `json:"email"  gorm:"comment:用户邮箱"`                    
	Enable      int            `json:"enable" gorm:"default:1;comment:用户是否被冻结 1正常 2冻结"` 
}

创建凭据方法:

clusterId:用户上传的集群id,区分对哪个集群进行创建凭据

userId:当前平台登录的用户id

func (K8sClusterService *K8sClusterService) CreateCredential(clusterId int, userId uint) error {
	// 根据当前平台登录的用户id获取用户信息
	var user system.SysUser
	if err := global.DY_DB.Where("id = ?", userId).First(&user).Error; err != nil {
		return err
	}
	// 根据当前平台登录的用户的uuid,和上传的集群id查询集群信息,同时预加载相关的用户信息
	var clusterIns cluster.K8sCluster
	if err := global.DY_DB.Where("id = ?", clusterId).Preload("Users", "uuid = ?", user.UUID).First(&clusterIns).Error; err != nil {
		return err
	}
	if !errors.Is(global.DY_DB.Where("cluster_id = ? and uuid = ?", clusterId, user.UUID).First(&cluster.User{}).Error, gorm.ErrRecordNotFound) {
		return errors.New("该账号集群凭据已存在")
	}
	fmt.Println(clusterIns)
	// CreateClientCertificate
	// 构建kubernetes 实例
	k := kubernetes.NewKubernetes(&clusterIns, &cluster.User{}, true)
	// 生成对应的客户端证书,返回私钥和公钥
	privateKey, publicCert, err := k.CreateClientCertificate(user.Username)
	if err != nil {
		return errors.New("CreateClientCertificate, error:" + err.Error())
	}

	// To JSON
	kubeConfig, err := k.KubeconfigJson(clusterIns, user.Username, privateKey, publicCert)
	if err != nil {
		return errors.New("To YAML, error:" + err.Error())
	}

	// save User
	if err = global.DY_DB.Save(&cluster.User{
		UUID:       user.UUID,
		Username:   user.Username,
		NickName:   user.NickName,
		KubeConfig: kubeConfig,
		ClusterId:  uint(clusterId),
	}).Error; err != nil {
		return err
	}

	return err
}

CreateClientCertificate 方法创建集群证书,返回私钥和公钥

func (k *Kubernetes) CreateClientCertificate(username string) (privateKey, publicCert string, err error) {
	// 获取clientSet客户端
	clientset, err := k.Client()
	if err != nil {
		return privateKey, publicCert, err
	}

	// 生成一个私钥
	RandprivateKey, err := GeneratePrivateKey()
	if err != nil {
		return privateKey, publicCert, err
	}

	// 生成用户证书申请
	cert, err := CreateClientCertificateRequest(username, RandprivateKey)
	if err != nil {
		return privateKey, publicCert, err
	}
	// 创建k8s证书签名请求(CSR)
	csr := certv1.CertificateSigningRequest{
		ObjectMeta: metav1.ObjectMeta{
			Name: username,
		},
		Spec: certv1.CertificateSigningRequestSpec{
			SignerName: "kubernetes.io/kube-apiserver-client", // 指定签名者
			Request:    cert,                                  // 设置CSR 请求的证书
			Groups: []string{
				"system:authenticated", // 指定用户组
			},
			Usages: []certv1.KeyUsage{
				"client auth", // 指定证书用途为客户端认证
			},
		},
	}
	// 在k8s集群中创建CSR
	createResp, err := clientset.CertificatesV1().CertificateSigningRequests().Create(context.TODO(), &csr, metav1.CreateOptions{})
	if err != nil {
		return privateKey, publicCert, err
	}

	// 审批CSR证书
	createResp.Status.Conditions = append(createResp.Status.Conditions, certv1.CertificateSigningRequestCondition{
		Reason:         "Approved by Devops",
		Type:           certv1.CertificateApproved,
		LastUpdateTime: metav1.Now(),
		Status:         "True",
	})
	// 更新CSR的审批状态
	updateResp, err := clientset.CertificatesV1().CertificateSigningRequests().UpdateApproval(context.TODO(), createResp.Name, createResp, metav1.UpdateOptions{})
	if err != nil {
		return privateKey, publicCert, err
	}
	// 循环等待证书颁发
	for {
		max_num := 0
		for {
			// 每次循环等待3秒
			time.Sleep(3 * time.Second)
			if max_num > 150 {
				break
			}
			// 获取CSR的状态
			getResp, err := clientset.CertificatesV1().CertificateSigningRequests().Get(context.TODO(), updateResp.Name, metav1.GetOptions{})
			if err != nil {
				max_num += 1
				global.DY_LOG.Warn("CertificateSigningRequests Get failed: " + err.Error())
				continue
			}
			// 检查CSR是否已经颁发证书
			if getResp.Status.Certificate != nil {
				// 删除已经颁发证书的CSR
				if err = clientset.CertificatesV1().CertificateSigningRequests().Delete(context.TODO(), username, metav1.DeleteOptions{}); err != nil {
					max_num += 1
					global.DY_LOG.Warn("CertificateSigningRequests Get failed: " + err.Error())
					continue
				}
				// 返回私钥和公钥证书(编码为Base64)
				return base64.StdEncoding.EncodeToString(
					pem.EncodeToMemory(&pem.Block{Type: "RSA PRIVATE KEY", Bytes: RandprivateKey}),
				), base64.StdEncoding.EncodeToString(getResp.Status.Certificate), err
			}

			max_num += 1
			continue
		}
	}
}

GeneratePrivateKey:生成私钥文件

// GeneratePrivateKey
//
//	@Description: 生成私钥
//	@return []byte
//	@return error
func GeneratePrivateKey() ([]byte, error) {
	privateKey, err := rsa.GenerateKey(rand.Reader, 2048)
	if err != nil {
		return nil, err
	}

	return x509.MarshalPKCS1PrivateKey(privateKey), nil
}

CreateClientCertificateRequest:根据私钥文件,生成客户端证书CSR

func CreateClientCertificateRequest(userName string, key []byte, org ...string) ([]byte, error) {
	// 解析PEM 编码的RSA私钥
	privateKey, err := x509.ParsePKCS1PrivateKey(key)
	if err != nil {
		return nil, err
	}
	// 构建证书请求的主题信息,包括用户名等
	subj := pkix.Name{
		CommonName: userName,
	}
	for i := range org {
		subj.Organization = append(subj.Organization, org[i])
	}
	// 将主题信息转换为RDN序列
	rawSubj := subj.ToRDNSequence()
	// 使用ASN.1 编码主题
	asn1Subj, err := asn1.Marshal(rawSubj)
	if err != nil {
		return nil, err
	}
	// 创建x509的证书请求对象
	csr := &x509.CertificateRequest{
		RawSubject:         asn1Subj,
		SignatureAlgorithm: x509.SHA256WithRSA,
	}
	// 生成证书CSR
	csrBytes, err := x509.CreateCertificateRequest(rand.Reader, csr, privateKey)
	if err != nil {
		return nil, err
	}
	// 将CSR转为PEM格式
	return pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE REQUEST", Bytes: csrBytes}), nil
}

调用创建授权方法之后,k8s_users表就会多出一条记录,该记录就是一个集群用户,其中的kube_config字段就是对应的k8sconfig文件,创建的用户权限根据k8s_cluster表的kubeconfig文件权限一致

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

上面的方法可以给当前登录的平台用户申请授权文件,而想给平台的其他用户授权呢,如下图,给wangwu用户授权k8s集群的操作权限,需要:

  • 配置默认的集群角色
  • 创建集群角色
  • 根据角色创建对应用户(用户授权)

在这里插入图片描述

配置默认集群角色

// CreateDefaultClusterRoles 创建或更新默认的 Kubernetes ClusterRoles
// 返回值:
// - error: 如果创建或更新过程中出现问题,则返回相应的错误信息
func (k *Kubernetes) CreateDefaultClusterRoles() error {
    // 获取 Kubernetes 客户端
    clientset, err := k.Client()
    if err != nil {
        global.GVA_LOG.Error("clientset init failed: " + err.Error())
        return err
    }

    // 遍历初始化的 ClusterRoles 列表
    for i := range InitClusterRoles {
        // 尝试获取现有的 ClusterRole
        instance, err := clientset.RbacV1().ClusterRoles().Get(context.TODO(), InitClusterRoles[i].Name, metav1.GetOptions{})
        if err != nil {
            // 如果错误不是 "not found",则返回错误
            if !strings.Contains(strings.ToLower(err.Error()), "not found") {
                return err
            }
        }

        // 如果 ClusterRole 不存在,则创建新的 ClusterRole
        if instance == nil || instance.Name == "" {
            _, err = clientset.RbacV1().ClusterRoles().Create(context.TODO(), &InitClusterRoles[i], metav1.CreateOptions{})
            if err != nil {
                return err
            }
        } else {
            // 如果 ClusterRole 存在,则更新现有的 ClusterRole
            _, err = clientset.RbacV1().ClusterRoles().Update(context.TODO(), &InitClusterRoles[i], metav1.UpdateOptions{})
            if err != nil {
                return err
            }
        }
    }

    // 返回 nil 表示操作成功
    return nil
}

创建集群角色:

type NamespaceRoles struct {
	Namespace string   `json:"namespace"`
	Roles     []string `json:"roles"`
}
type CreateClusterRole struct {
	ClusterRoles   []string         `json:"cluster_roles"`
	NamespaceRoles []NamespaceRoles `json:"namespace_roles"`
	UserUuids      []string         `json:"user_uuids"`
	cluster.User
	ClusterId int `json:"cluster_id"`
}

// CreateClusterRole
//
//	@Description: 创建k8s集群角色
//	@receiver k8sClusterService
//	@param role  包含要创建的角色数据的结构体
//	@return err
func (k8sClusterService *K8sClusterService) CreateClusterRole(role cluster.RoleData) (err error) {
	// 根据角色中的 ClusterId 查找对应的 Kubernetes 集群实例
	var clusterIns cluster.K8sCluster
	if err := global.DY_DB.Where("id = ?", role.ClusterId).First(&clusterIns).Error; err != nil {
		return err
	}
	// 遍历角色规则中的 API 组,将 "core" 替换为空字符串
	for i := range role.Rules {
		for j := range role.Rules[i].APIGroups {
			if role.Rules[i].APIGroups[j] == "core" {
				role.Rules[i].APIGroups[j] = ""
			}
		}
	}
	// 创建 Kubernetes 客户端实例
	k := kubernetes.NewKubernetes(&clusterIns, &cluster.User{}, true)
	client, err := k.Client()
	if err != nil {
		return err
	}
	// 设置角色的注解和标签
	role.Annotations["builtin"] = "false"
	role.Annotations["created-at"] = time.Now().Format("2006-01-02 15:04:05")
	role.Labels[kubernetes.LabelManageKey] = "devops"
	role.Labels[kubernetes.LabelClusterId] = clusterIns.UUID.String()
	// 使用 Kubernetes 客户端创建集群角色
	_, err = client.RbacV1().ClusterRoles().Create(context.TODO(), &role.ClusterRole, metav1.CreateOptions{})
	if err != nil {
		return err
	}

	return err
}

创建集群用户并授权

// CreateUser
//
//	@Description: 在k8s中为给定的角色创建用户
//	@receiver k8sClusterService
//	@param role
//	@return err
func (k8sClusterService *K8sClusterService) CreateUser(role clusterReq.CreateClusterRole) (err error) {
	// 遍历 role.UserUuids 列表,处理每个用户的创建操作
	for _, userUuid := range role.UserUuids {
		// 启动一个新的 goroutine 来并行处理每个用户的创建
		go func(u string, r clusterReq.CreateClusterRole) {
			var user system.SysUser
			// 根据用户的 UUID 从数据库中查找对应的用户记录
			if err = global.DY_DB.Where("uuid = ?", u).First(&user).Error; err != nil {
				global.DY_LOG.Warn("User Not Found failed:" + err.Error())
				return
			}
			// 检查该用户是否已经存在于指定的集群中
			if !errors.Is(global.DY_DB.Where("cluster_id = ? and uuid = ?", r.ClusterId, user.UUID).First(&cluster.User{}).Error, gorm.ErrRecordNotFound) {
				global.DY_LOG.Warn(fmt.Sprintf("The User: %s cluster credentials for this account already exist", user.NickName))
				return
			}
			// 调用 CreateClusterUser 方法来为用户创建集群凭证
			if err = k8sClusterService.CreateClusterUser(r, user); err != nil {
				global.DY_LOG.Error("CreateClusterUser failed: " + err.Error())
				return
			}

			return
		}(userUuid, role)
	}

	return err
}

// CreateClusterUser
//
//	@Description: 为给定角色和平台用户在k8s中创建集群用户
//	@receiver k8sClusterService
//	@param role
//	@param user
//	@return err
func (k8sClusterService *K8sClusterService) CreateClusterUser(role clusterReq.CreateClusterRole, user system.SysUser) (err error) {
	// 根据角色中的 ClusterId 查找对应的 Kubernetes 集群实例
	var clusterIns cluster.K8sCluster
	if err := global.DY_DB.Where("id = ?", role.ClusterId).First(&clusterIns).Error; err != nil {
		return err
	}
	// 为用户创建集群凭据
	if err = k8sClusterService.CreateCredential(role.ClusterId, user.ID); err != nil {
		return errors.New("为用户创建集群凭据失败" + err.Error())
	}
	// 创建 Kubernetes 客户端实例
	k := kubernetes.NewKubernetes(&clusterIns, &cluster.User{}, true)
	// 查找用户在集群中的数据
	var userData cluster.User
	if err = global.DY_DB.Where("cluster_id = ? and uuid = ?", role.ClusterId, user.UUID).First(&userData).Error; err != nil {
		return err
	}
	// 如果角色包含 ClusterRoles,则进行相应处理
	if len(role.ClusterRoles) > 0 {
		// 将 ClusterRoles 转换为 JSON 字符串
		clusterRolesString, err := json.Marshal(role.ClusterRoles)
		if err != nil {
			return err
		}
		// 启动一个新的 goroutine 处理 ClusterRoleBinding 的创建和更新
		go func(id uint, clusterRolesString string) {
			// 创建或更新 ClusterRoleBinding
			for r := range role.ClusterRoles {
				if err = k.CreateOrUpdateClusterRoleBinding(role.ClusterRoles[r], user.Username, false); err != nil {
					global.DY_LOG.Error("CreateOrUpdateClusterRoleBinding failed:" + err.Error())
				}
			}

			// 更新集群授权
			if err = global.DY_DB.Model(&cluster.User{}).Where("id = ?", id).Update("cluster_roles", clusterRolesString).Error; err != nil {
				global.DY_LOG.Error("CreateOrUpdateClusterRoleBinding Cluster Role failed:" + err.Error())
			}
		}(userData.ID, string(clusterRolesString))
	}
	// 如果角色包含 NamespaceRoles,则进行相应处理
	if len(role.NamespaceRoles) > 0 {
		// 将 NamespaceRoles 转换为 JSON 字符串
		namespaceRolesString, err := json.Marshal(role.NamespaceRoles)
		if err != nil {
			return err
		}
		// 启动一个新的 goroutine 处理 Rolebinding 的创建和更新
		go func(id uint, namespaceRolesString string) {
			// 创建或更新 Rolebinding
			for r := range role.NamespaceRoles {
				for j := range role.NamespaceRoles[r].Roles {
					if err := k.CreateOrUpdateRolebinding(role.NamespaceRoles[r].Namespace, role.NamespaceRoles[r].Roles[j], user.Username, false); err != nil {
						global.DY_LOG.Error("CreateOrUpdateRolebinding Namespace role failed:" + err.Error())
					}

				}
			}

			// 更新命名空间授权
			if err = global.DY_DB.Model(&cluster.User{}).Where("id = ?", id).Update("cluster_roles", namespaceRolesString).Error; err != nil {
				global.DY_LOG.Error("CreateOrUpdateClusterRoleBinding Cluster Role failed:" + err.Error())
			}
		}(userData.ID, string(namespaceRolesString))
	}

	return err
}

创建或更新k8s clusterRoleBinding

// CreateOrUpdateClusterRoleBinding
//
//	@Description: 创建或更新k8s ClusterRoleBinding
//	@receiver k
//	@param clusterRoleName
//	@param username  用户名
//	@param builtIn 是否内置
//	@return error
func (k *Kubernetes) CreateOrUpdateClusterRoleBinding(clusterRoleName string, username string, builtIn bool) error {
	client, err := k.Client()
	if err != nil {
		return err
	}
	// 生成 ClusterRoleBinding 的名称
	name := fmt.Sprintf("%s:%s:%s", username, clusterRoleName, k.K8sCluster.UUID.String())
	labels := map[string]string{
		LabelManageKey: "devops",
		LabelClusterId: k.K8sCluster.UUID.String(),
		LabelUsername:  username,
	}
	annotations := map[string]string{
		"built-in":   strconv.FormatBool(builtIn),
		"created-at": time.Now().Format("2006-01-02 15:04:05"),
	}
	// 创建 ClusterRoleBinding 对象
	item := rbacV1.ClusterRoleBinding{
		ObjectMeta: metav1.ObjectMeta{
			Name:        name,
			Labels:      labels,
			Annotations: annotations,
		},
		Subjects: []rbacV1.Subject{
			{
				Kind: "User",
				Name: username,
			},
		},
		RoleRef: rbacV1.RoleRef{
			Kind: "ClusterRole",
			Name: clusterRoleName,
		},
	}
	// 获取现有的 ClusterRoleBinding
	baseItem, err := client.RbacV1().ClusterRoleBindings().Get(context.TODO(), name, metav1.GetOptions{})
	if err != nil {
		if !strings.Contains(err.Error(), "not found") {
			return err
		}
	}

	if baseItem != nil && baseItem.Name != "" {
		_, err := client.RbacV1().ClusterRoleBindings().Create(context.TODO(), &item, metav1.CreateOptions{})
		if err != nil {
			return err
		}
	} else {
		_, err := client.RbacV1().ClusterRoleBindings().Update(context.TODO(), &item, metav1.UpdateOptions{})
		if err != nil {
			return err
		}
	}
	return nil
}

创建或更新k8s RoleBinding

// CreateOrUpdateRolebinding
//
//	@Description: 创建或更新k8s RoleBinding
//	@receiver k
//	@param namespace
//	@param clusterRoleName
//	@param username
//	@param builtIn
//	@return error
func (k *Kubernetes) CreateOrUpdateRolebinding(namespace string, clusterRoleName string, username string, builtIn bool) error {
	client, err := k.Client()
	if err != nil {
		return err
	}
	// 设置标签
	labels := map[string]string{
		LabelManageKey: "devops",
		LabelClusterId: k.K8sCluster.UUID.String(),
		LabelUsername:  username,
	}
	// 设置注解
	annotations := map[string]string{
		"built-in":   strconv.FormatBool(builtIn),
		"created-at": time.Now().Format("2006-01-02 15:04:05"),
	}
	// 生成RoleBinding的名称
	name := fmt.Sprintf("%s:%s:%s:%s", namespace, username, clusterRoleName, k.K8sCluster.UUID)
	// 创建RoleBinding对象
	item := rbacV1.RoleBinding{
		ObjectMeta: metav1.ObjectMeta{
			Name:        name,
			Labels:      labels,
			Annotations: annotations,
			Namespace:   namespace,
		},
		Subjects: []rbacV1.Subject{
			{
				Kind: "User",
				Name: username,
			},
		},
		RoleRef: rbacV1.RoleRef{
			Kind: "ClusterRole",
			Name: clusterRoleName,
		},
	}
	// 获取现有的 RoleBinding
	baseItem, err := client.RbacV1().RoleBindings(namespace).Get(context.TODO(), name, metav1.GetOptions{})
	if err != nil {
		if !strings.Contains(err.Error(), "not found") {
			return err
		}
	}
	// 如果 RoleBinding 不存在,则创建新的 RoleBinding
	if baseItem != nil && baseItem.Name != "" {
		_, err := client.RbacV1().RoleBindings(namespace).Create(context.TODO(), &item, metav1.CreateOptions{})
		if err != nil {
			return err
		}
	} else {
		// 如果 RoleBinding 存在,则更新现有的 RoleBinding
		_, err := client.RbacV1().RoleBindings(namespace).Update(context.TODO(), &item, metav1.UpdateOptions{})
		if err != nil {
			return err
		}
	}
	return nil
}

这样就可以根据平台用户名添加集群用户,指定集群用户的集群权限、命名空间权限了

在这里插入图片描述

不爱代码的小杜
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1322
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
kubernetes给指定用户分配调用k8sapi权限
马各马它
06-28 656
k8sapi十分丰富,平时用到的deployment,pod,service都可以使用api来操作。使用kubernetes部署项目时,有些特殊场景,我们需要在自己创建的pod里面调用k8sapi来管理k8s,但是需要使用指定用户权限,该用户证使用当前命名空间的资源,不能使用其他命名空间的api和资源。默认调用k8sapi是会返回401认证失败的错误的,所以我们需要先拿到demo:default账户的token才能调用k8sapi接口。先进入pod,我们在pod里面测试调用k8sapi
kubernetes(k8s) API调用方式
doublewe的博客
02-09 6818
1. kubectl 反向代理 // 在 master 节点上,输入如下命令 kubectl proxy // 如果需要指定端口,则添加 自带非安全端口8080 安全端口6443
调试必备,详解 HTTP 客户端调用 K8S API,建议收藏!
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-13 2088
使用 CLI(如 curl)或 GUI(如 postman )HTTP 客户端调用 Kubernetes API 有很多原因。例如,您可能需要对 Kubernetes 对象进行比 kubectl 提供的更细粒度的控制,或者只是想在尝试从代码访问 API 之前进行探索。本文不仅仅是一个方便的命令列表,而是一个深思熟虑的演练,揭示了您在从命令行调用 Kubernetes API 时可能会偶然发现的一些问题。它涵盖以下内容:如果你没有 Kubernetes 集群可以做实验,这里是你可以使用 arkade 快速创建
k8s APIserver源码入门解读
m0_46656833的博客
09-24 517
APIserver func main() { ... #核心 command := app.NewAPIServerCommand() #日志 logs.InitLogs() defer logs.FlushLogs() ... } #NewAPIServerCommand #核心是调用run函数 运行AIPserver 永远不会退出 return Run(completedOptions, genericapiserver.SetupSignalHandler()) #Run #创建
k8s API Server授权管理
zhangshaohuas的博客
07-30 1377
目录授权策略1. ABAC授权模式详解1.1访问策略对象(1)主体属性(2)资源属性(3)非资源属性1.2 ABAC授权算法1.3 使用kubectl时的授权机制1.4 常见的ABAC授权示例1.5 对Service Account进行授权2.Webhook授权模式详解 当客户端发起API Server调用时,API Server内部要: 先进行用户认证 然后执行用户授权流程,即通过授权策略来决定一个API调用是否合法。 对合法用户进行授权并且随后在用户访问时进行鉴权,是权限与安全系统的重要一环。 简单
使用Postman访问k8s RESTful API
qq_40473491的博客
06-03 1574
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
如何使用curl访问k8sapiserver
阿里云云栖号
06-24 5856
使用TOKEN授权访问api-server在k8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名+密码的认证方式 通常的运维场景使用第二种Token较为方便Token的权限是关联service acc...
k8s系列】驾驭容器化未来:Kubernetes Pod的全面解析与简单实践
Young_深情不及里子的博客
08-28 886
在当今快速发展的云计算和容器化技术领域,Kubernetes已经崭露头角,成为自动化容器操作的开源平台。在这个生态系统中,Pod作为Kubernetes的最小和最简单的单元,扮演着至关重要的角色。Pod不仅是容器的集合,更是资源共享和协同工作的基础。作为初探容器化技术的爱好者,笔者也是在k8s学习过程中根据自己的理解分享一下这块的具体内容,希望对感兴趣的小伙伴有所帮助~
kubeadm部署k8s1.25.3一主二从集群(Containerd)
weixin_58410911的博客
08-27 1205
k8s中Service有两种代理模式,一种是基于iptables的,一种是基于ipvs,两者对比ipvs负载均衡算法更加的灵活,且带有健康检查的功能,如果想要使用ipvs模式,需要手动载入ipvs模块。在master01节点初始化集群,查看集群所需镜像文件,ApiServer、ControllerManager、Schedule、kubeproxy都是以容器的方式运行,kubelet是yum安装。设置,需要配置并运行一个不使用 TLS 的镜像仓库。提示:不要忘了在每个节点都跑一遍环境初始化脚本!
【从问题中去学习k8sk8s中的常见面试题(夯实理论基础)(二十)
zerotoall的博客
08-27 603
思考一下问题: 88、 k8s集群外流量怎么访问Pod? 参考答案:
K8S(Kubernates) 知识目录
最新发布
王小工小工历程
08-31 355
K8S 知识目录 kubernates 学习要点,一文学让你了解kubernates的全部知识。
K8s系列之:K8s OPERATOR是什么
zhengzaifeidelushang的博客
08-28 1034
Kubernetes 的 Operator 模式概念允许你在不修改 Kubernetes 自身代码的情况下, 通过为一个或多个自定义资源关联控制器来扩展集群的能力。Operator 是 Kubernetes API 的客户端, 充当自定义资源的控制器。部署 Operator 最常见的方法是将自定义资源及其关联的控制器添加到你的集群中。Operator 模式会封装你编写的(Kubernetes 本身提供功能以外的)任务自动化代码。如果生态系统中没有可以实现你目标的 Operator,你可以自己编写代码。
银河麒麟v10-sp3-x86系统安装k8s-1.30.4
qq_59634082的博客
08-30 896
以一个类比的方式来说,就好像开车上高速,如果路况通畅,车速可以很快,但是如果遇到堵车,需要走应急车道,就会耽误时间。:x86-64架构的处理器通常提供高性能的计算能力,支持大量的内存和复杂的操作系统,如Windows、Linux和macOS。交换分区的使用可以有效避免程序因为内存不足而崩溃或运行缓慢的问题,但是硬盘的读写速度比内存要慢得多,因此交换分区的使用会对系统的性能产生一定的影响。4、配合银河麒麟服务器的评估和迁移能力,降低用户业务系统适配国产架构平台难度,实现业务系统中服务器操作系统的无感迁移。
容器编排工具的选择:KubernetesK8s)与 K3s 的权衡与实践|Kubernetes|K3s|容器编排|资源受限环境
08-31 311
在现代软件开发与部署过程中,容器编排工具的选择直接影响到系统的性能、管理的复杂性以及资源的利用率。KubernetesK8s)作为容器编排领域的事实标准,凭借其强大的功能与可扩展性,成为了大多数企业的首选。然而,对于资源受限的环境或者需要简化操作的场景,K3s 提供了一个轻量化的替代方案。本文将详细探讨 Kubernetes 和 K3s 的核心区别,以及在特定场景下如何选择最适合的容器编排解决方案。同时,我们将通过代码示例和实际案例,展示 K3s 在本地开发环境中的优势与便利之处,为开发者提供实用的指导。
K8S POD
王小工小工历程
08-27 1521
定义:在K8s中,容器是一种将应用程序及其依赖项打包在一起的轻量级、可移植和自包含的软件单元。特点轻量级:容器不需要额外的操作系统来运行应用程序,而是与宿主机共享操作系统内核,这使得容器的启动和停止更加迅速,并且可以在同一宿主机上运行更多的容器。可移植性:容器提供了一种统一的编排和部署方式,使得应用程序可以在不同的环境中轻松迁移和部署。隔离性:K8s容器能够实现隔离,使得不同的应用程序可以在同一台物理机或虚拟机上运行,彼此之间不会相互干扰。
kubenetes--资源调度
小李学不完的博客
08-25 1171
资源调度:Label和Selector:标签(Label)、选择器(Selector)。Deployment--无状态应用:功能、配置文件。StatefulSet:功能、配置文件。DaemonSet:配置文件、不指定Node节点、指定Node节点、滚动更新。HPA自动扩/缩容:开启指标服务、cpu、内存指标监控、自定义metrics。
82、k8s的service-NodePort端口开放和生命周期
m0_74149099的博客
08-28 1044
#没加自定义命名空间,进入不了容器-------------------以上纯属看错误--------------------[root@master01 ~]# kubectl exec -it -n xy102 nginx1-654cb56c4-7plg2 bash ##自定义命令空间,需要添加命令空间,进入pod的容器NodePort:service根据标签来匹配对应的pod,只要标签匹配,都能转发到指定的pod内的容器
Python调用openshift环境的k8s api
03-31
要在Python中调用openshift环境的k8s API,可以使用Kubernetes Python客户端库。该库提供了一个Python接口,可以与Kubernetes API交互。 以下是一个简单的Python程序,用于连接到openshift环境的Kubernetes API,并获取部署的列表: ```python from kubernetes import client, config # 加载kubeconfig文件 config.load_kube_config() # 创建Kubernetes API客户端 api = client.AppsV1Api() # 获取部署的列表 deployments = api.list_deployment_for_all_namespaces().items # 打印部署的名称和命名空间 for deployment in deployments: print(deployment.metadata.name, deployment.metadata.namespace) ``` 在上面的代码中,首先使用`config.load_kube_config()`加载kubeconfig文件,然后创建一个`AppsV1Api`对象,该对象允许我们与Kubernetes API交互。然后,我们使用`api.list_deployment_for_all_namespaces().items`获取所有命名空间中的部署列表,并使用循环打印每个部署的名称和命名空间。 注意,要使用此代码,您需要安装Kubernetes Python客户端库。可以使用pip安装该库: ``` pip install kubernetes ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值