k8s权限/证书:工作节点权限收缩

最新推荐文章于 2024-06-15 23:59:24 发布
最新推荐文章于 2024-06-15 23:59:24 发布
阅读量137 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34482492/article/details/129130632
版权

背景:

kubectl使用congig文件来访问集群。

目前,工作节点直接拷贝kubeadm在master生成的admin,conf文件。该文件使工作节点的kubectl具有最高权限。

目的:

单独为工作节点的kubectl设置权限适当的config文件。

方案概述:

目前,平台预设了以下四种权限。我们为工作节点的kubectl绑定“开发人员权限”。master节点的kubectl保持“管理员权限”。

 

目前,手动操作的流程如下:

第一部分:为工作节点的kubectl,生成config文件

操作地点:master节点(需要使用的CA证书,只存在于master节点)

1.使用集群CA,为节点签证书

工作目录:/etc/kubernetes

// 生成服务器的私钥(长度为2048)

openssl genrsa -out worker.key 2048

// 使用私钥,生成证书请求文件

openssl req -new -key worker.key -subj "/CN=worker" -out worker.csr

// 生成证书

openssl x509 -req -in worker.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -days 36500 -out worker.crt

2.生成config文件

1)在/etc/kubernetes创建config-worker文件

内容如下:

apiVersion: v1

kind: Config

preferences: {}

2)设置集群地址和CA证书

kubectl config --kubeconfig=config-worker set-cluster cls-54g954mb --server=https://kube-chongqing.cls-54g954mb.io:6443 --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs
3)设置worker用户

kubectl config --kubeconfig=config-worker set-credentials worker --client-key=/etc/kubernetes/worker.key --client-certificate=/etc/kubernetes/worker.crt --embed-certs
4)设置上下文

kubectl config --kubeconfig=config-worker set-context worker@cls-54g954mb --cluster cls-54g954mb --user worker

5)设置当前上下文

kubectl config --kubeconfig=config-worker use-context worker@cls-54g954mb

3.检查clusterRole[dev]

检查是否存在dev

kubectl get clusterrole dev -o yaml

4.绑定角色[dev]

 

5.检查config文件

检查是否符合预期。

命令

预期结果

kubectl get pod -A --kubeconfig='config-worker'Y
kubectl get node --kubeconfig='config-worker'Y
kubectl delete pod <pod名字> --kubeconfig='config-worker'Y
kubectl get csidrivers --kubeconfig='config-worker'N
kubectl get clusterroles --kubeconfig='config-worker'N
kubectl get clusterrolebindings --kubeconfig='config-worker'N
kubectl delete node 10.0.2.21 --kubeconfig='config-worker'N

第二部分:拷贝config文件至工作节点

地址:~/.kube

修改文件名为config

文涛-容器开发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s-身份认证与权限
Mclaughling的博客
10-28 4426
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
k8s.gcr.io/descheduler/descheduler:v0.24.0镜像包
08-05
k8s.gcr.io/descheduler/descheduler:v0.24.0镜像包
解决node节点不能使用k8s命令
qq120631157的博客
07-31 591
报错信息 kubectl get pods --all-namespaces kubectl get nodes The connection to the server localhost:8080 was refused - did you specify the right host or port ? 原因 环境变量原因:kubernetes master没有与本机绑定,集群初始化的时候没有绑定,此时设置在本机的环境变量即可解决问题 解决 ammin.conf 可以在master节点copy
k8s权限管理
叶青
01-15 1180
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看。
k8s功能介绍和常用命令
燕雀踏青云
12-29 4419
一、标题deployment篇 1.1 创建deployment,命名为nginx kubectl create deployment nginx --image=nginx:1.15.2 1.2 查看deployment,包括IP kubectl get deploy -owide 备注: NAME: Deployment名称 READY:Pod的状态,已经Ready的个数 UP-TO-DATE:已经达到期望状态的被更新的副本数 AVAILABLE:已经可以用的副本数 AGE:显示应用程序运行的时间
每期一个小窍门(006): k8s创建顶级权限cluster role
李昊轩的博客
10-27 693
apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: admin annotations: rbac.authorization.kubernetes.io/autoupdate: "true" roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceA
k8s.gcr.io/pause:3.1镜像包
03-06
kubernetes的k8s.gcr.io/pause:3.1镜像包,版本为3.1。文件是pause_3_1.tar
k8s.gcr.io/pause:3.1
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst 导入命令: #docker load < pause.3.1.tar # docker tag da86e6ba6ca1 k8s.gcr.io/pause:3.1
k8s证书过期处理方案
11-17
k8s默认的证书有效期为一年,在实际生产中,经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: ...
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s 权限理解
weixin_34106122的博客
11-28 1002
kubernetes 权限管理 kubernetes 主要通过 APIServer 对外提供服务,请求访问的安全性是非常重要的考虑因素kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权认证:解决用户是谁授权:解决用户能做什么注:k8s在访问时,只有通过 HTTPS 访问的时候才会通过认证和授权,HTTP 不需要 认证(Authentication) 客户端证书认证 ...
K8s之权限管理
a13568hki的博客
04-29 4221
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7442
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based Access,RBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
k8s(十四)、RBAC权限控制
热门推荐
ywq935的博客
12-06 1万+
前言 kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制. PS: RBAC作为集群管理的基础组件之一,本该放在最前面几篇,但是最近才想起来这个方面的知识点,赶紧梳理总结输出了本篇 工作流程 流程图 流程拆解 一、基于资源申明和管...
centos环境上:k8s 简单安装教程
最新发布
yanghaitao5000的博客
06-15 811
本次演示安装的k8s版本为 1.22.15。 calico 版本是否支持当前k8s版本,calico v3.24版本支持k8s 1.22~1.25. Calico 是一个纯三层的数据中心网络方案,是目前 Kubernetes 主流的网络方案。 注意:3个服务器IP都要设置为静态IP,主要此操作只需在master节点执行。 注意:apiserver-advertise-address 除填写master节点IP地址;
k8s基础命令集合
清瞳清的博客
06-11 240
这些命令是Kubernetes管理中最常用的一些基本操作,熟练掌握这些命令能够帮助你高效地管理Kubernetes集群和应用。
k8s离线部署Calico网络(2续)
weixin_72819498的博客
06-10 307
链接:https://pan.baidu.com/s/14ReJW-ZyYZFLbwSEBZK6mA?
【K8s源码分析(三)】-K8s调度器调度周期介绍
slipegg的博客
06-09 1270
从k8s源代码出发介绍了K8s调度周期中的各种事件。
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver:v1.22.17: output: Error response from daemon: Ge t "https://k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-controller-manager:v1.22.17: output: Error response from d aemon: Get "https://k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-scheduler:v1.22.17: output: Error response from daemon: Ge t "https://k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-proxy:v1.22.17: output: Error response from daemon: Get "h ttps://k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/pause:3.5: output: Error response from daemon: Get "https://k8s .gcr.io/v2/": context deadline exceeded, error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/etcd:3.5.0-0: output: Error response from daemon: Get "https:// k8s.gcr.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers), error: exit status 1 [ERROR ImagePull]: failed to pull image k8s.gcr.io/coredns/coredns:v1.8.4: output: Error response from daemon: Get "https://k8s.gcr.io/v2/": context deadline exceeded, error: exit status 1 [preflight] If you know what you are doing, you can make a check non-fatal with `--ignore-preflight-errors=...` To see the stack trace of this error execute with --v=5 or higher
07-12
它表明在尝试从 k8s.gcr.io 拉取镜像时出现了连接超时的问题。 这个问题可能是由于网络连接问题、防火墙设置或者代理配置引起的。以下是一些解决该问题的常见步骤: 1. 确保您的网络连接正常,尝试通过浏览器访问 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值