k8s权限/证书:工作节点权限收缩

最新推荐文章于 2024-11-02 22:42:44 发布
最新推荐文章于 2024-11-02 22:42:44 发布
阅读量171 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34482492/article/details/129130632
版权
文章描述了一种方法,通过在master节点上生成配置文件,为工作节点的kubectl赋予特定权限。这一过程包括生成证书、创建config文件、设置用户和上下文、绑定角色以及拷贝文件到工作节点。目标是确保工作节点只有开发人员权限,而master节点保持管理员权限。
摘要由CSDN通过智能技术生成

背景:

kubectl使用congig文件来访问集群。

目前,工作节点直接拷贝kubeadm在master生成的admin,conf文件。该文件使工作节点的kubectl具有最高权限。

目的:

单独为工作节点的kubectl设置权限适当的config文件。

方案概述:

目前,平台预设了以下四种权限。我们为工作节点的kubectl绑定“开发人员权限”。master节点的kubectl保持“管理员权限”。

 

目前,手动操作的流程如下:

第一部分:为工作节点的kubectl,生成config文件

操作地点:master节点(需要使用的CA证书,只存在于master节点)

1.使用集群CA,为节点签证书

工作目录:/etc/kubernetes

// 生成服务器的私钥(长度为2048)

openssl genrsa -out worker.key 2048

// 使用私钥,生成证书请求文件

openssl req -new -key worker.key -subj "/CN=worker" -out worker.csr

// 生成证书

openssl x509 -req -in worker.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -days 36500 -out worker.crt

2.生成config文件

1)在/etc/kubernetes创建config-worker文件

内容如下:

apiVersion: v1

kind: Config

preferences: {}

2)设置集群地址和CA证书

kubectl config --kubeconfig=config-worker set-cluster cls-54g954mb --server=https://kube-chongqing.cls-54g954mb.io:6443 --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs
3)设置worker用户

kubectl config --kubeconfig=config-worker set-credentials worker --client-key=/etc/kubernetes/worker.key --client-certificate=/etc/kubernetes/worker.crt --embed-certs
4)设置上下文

kubectl config --kubeconfig=config-worker set-context worker@cls-54g954mb --cluster cls-54g954mb --user worker

5)设置当前上下文

kubectl config --kubeconfig=config-worker use-context worker@cls-54g954mb

3.检查clusterRole[dev]

检查是否存在dev

kubectl get clusterrole dev -o yaml

4.绑定角色[dev]

 

5.检查config文件

检查是否符合预期。

命令

预期结果

kubectl get pod -A --kubeconfig='config-worker'Y
kubectl get node --kubeconfig='config-worker'Y
kubectl delete pod <pod名字> --kubeconfig='config-worker'Y
kubectl get csidrivers --kubeconfig='config-worker'N
kubectl get clusterroles --kubeconfig='config-worker'N
kubectl get clusterrolebindings --kubeconfig='config-worker'N
kubectl delete node 10.0.2.21 --kubeconfig='config-worker'N

第二部分:拷贝config文件至工作节点

地址:~/.kube

修改文件名为config

文涛-容器开发
关注
Kubernetes运维工程师必备:K8s 基础面试题精编(一)
jks212454的博客
07-08 334
Kubernetes运维工程师必备:K8s 基础面试题精编(一)
1.k8s:架构,组件,基础概念
鹏哥哥Aaa
06-26 447
k8s:架构,组件,基础概念
解决node节点不能使用k8s命令
qq120631157的博客
07-31 631
报错信息 kubectl get pods --all-namespaces kubectl get nodes The connection to the server localhost:8080 was refused - did you specify the right host or port ? 原因 环境变量原因:kubernetes master没有与本机绑定,集群初始化的时候没有绑定,此时设置在本机的环境变量即可解决问题 解决 ammin.conf 可以在master节点copy
k8s-身份认证与权限
Mclaughling的博客
10-28 4788
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
k8s权限管理
叶青
01-15 1241
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看。
k8s功能介绍和常用命令
燕雀踏青云
12-29 4629
一、标题deployment篇 1.1 创建deployment,命名为nginx kubectl create deployment nginx --image=nginx:1.15.2 1.2 查看deployment,包括IP kubectl get deploy -owide 备注: NAME: Deployment名称 READY:Pod的状态,已经Ready的个数 UP-TO-DATE:已经达到期望状态的被更新的副本数 AVAILABLE:已经可以用的副本数 AGE:显示应用程序运行的时间
每期一个小窍门(006): k8s创建顶级权限cluster role
李昊轩的博客
10-27 742
apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: admin annotations: rbac.authorization.kubernetes.io/autoupdate: "true" roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io subjects: - kind: ServiceA
Kubernates(k8s)工作负载之工作负载资源
纸上得来终觉浅,绝知此事要躬行
04-29 1401
目录 Deployments 用例 创建 Deployment Pod-template-hash 标签 更新 Deployment 翻转(多 Deployment 动态更新) 更改标签选择算符 回滚 Deployment 检查 Deployment 上线历史 回滚到之前的修订版本 缩放 Deployment 比例缩放 暂停、恢复 Deployment Deployment 状态 进行中的 Deployment 完成的 Deployment 失败的 Deploymen...
docker和k8s基础介绍
swimming_in_IT_的博客
04-24 4259
通常称为K8sK8s是将8个字母“ubernete”替换为“8”的缩写)是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力,包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制,以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具,这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节;
k8s——pod控制器
Yusheng9527的博客
04-13 1778
k8s——pod控制器Pod控制器介绍Pod控制器及其功用pod控制器有多种类型Pod与控制器之间的关系Pod控制器种类及yaml格式DeploymentStatefulSetDaemonSetJobCronJob Pod控制器介绍 Pod控制器及其功用 Pod控制器,又称之为工作负载(workload),是用于实现管理pod的中间层,确保pod资源符合预期的状态,pod的资源出现故障时,会尝试进行重启,当根据重启策略无效,则会重新新建pod的资源。 pod控制器有多种类型 ReplicaSet: 代用户
k8s 权限理解
weixin_34106122的博客
11-28 1029
kubernetes 权限管理 kubernetes 主要通过 APIServer 对外提供服务,请求访问的安全性是非常重要的考虑因素kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权认证:解决用户是谁授权:解决用户能做什么注:k8s在访问时,只有通过 HTTPS 访问的时候才会通过认证和授权,HTTP 不需要 认证(Authentication) 客户端证书认证 ...
K8s权限管理
a13568hki的博客
04-29 4257
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7458
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based Access,RBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
k8s(十四)、RBAC权限控制
热门推荐
ywq935的博客
12-06 1万+
前言 kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制. PS: RBAC作为集群管理的基础组件之一,本该放在最前面几篇,但是最近才想起来这个方面的知识点,赶紧梳理总结输出了本篇 工作流程 流程图 流程拆解 一、基于资源申明和管...
TensorRT-LLM的k8s弹性伸缩部署方案
最新发布
smartcat2010的博客
11-02 344
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
Kubeadm搭建k8s
YCyjs的博客
10-29 1256
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
KubernetesK8s)相关漏洞介绍
weixin_45945976的博客
10-31 429
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
Centos7搭建k8s集群
ct1027038527的专栏
10-29 1009
然后在需要加入集群的节点中执行令牌,注意这里的命令是通过kubeadm token create --print-join-command命令返回的结果。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。逻辑是: deployment ------>副本 -----> pod (运行容器的基本资源对象)# 在工作节点上执行以下命令即可加入集群。执行创建deployment。删除deployment。创建deployment。
K8s证书过期处理:续签与操作指南
Kubernetesk8s)环境中,证书的有效期通常为一年,这可能会在生产环境中引发节点故障,尤其是在使用kubeadm部署时。当遇到证书过期导致的"Unable to connect to the server: x509: certificate has expired or ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值