自定义证书使用kubelet授权账号

最新推荐文章于 2023-04-24 11:38:41 发布
最新推荐文章于 2023-04-24 11:38:41 发布
阅读量429 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34857250/article/details/90516619
版权

文章目录

生成一个私钥

[root@master-01 study]# cd  /etc/kubernetes/pki/
apiserver.crt              apiserver.key                 ca.crt  front-proxy-ca.crt      front-proxy-client.key
apiserver-etcd-client.crt  apiserver-kubelet-client.crt  ca.key  front-proxy-ca.key      sa.key
apiserver-etcd-client.key  apiserver-kubelet-client.key  etcd    front-proxy-client.crt  sa.pub

#进入一个子shell,生成一个证书
(umask 077; openssl genrsa -out lqx.key 2048
#证书签署请求,证书用户是lqx
openssl req -new -key lqx.key -out lqx.csr -subj "/CN=lqx"
#证书签署完成
openssl x509 -req -in lqx.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out lqx.crt -days 365
#查看证书,base64加密
openssl x509 -in lqx.crt -text -noout

配置新建的用户

#查看目前的kubectl的config文件
[root@master-01 study]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://cluster.kube.com:7443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
#使用新建的证书设置kubeclt的配置文件
kubectl config set-credentials lqx(用户的标志符) --client-certificate=./lqx.crt --client-key=./lqx.key
#查看新的用户
kubectl config view

#设置上下文
kubectl config set-context lqx@kubernetes --cluster=kubernetes --user=lqx

#切换账号
kubectl config use-context lqx@kubernetes
kubectl get pods  #这里可能会出现没有权限

#自定义kubectl的证书
kubectl config set-cluster  new-cluster --kubeconfig=/tmp/lqx.conf --server="https://192.168.30.243:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true

kubectl根据user不同来管理不同的集群


#去A集群创建一个账号
#创建一个账号

kubectl create serviceaccount def-ns-admin

#绑定集群权限

kubectl create rolebinding def-ns-admin --clusterrole=admin --serviceaccount=default:def-ns-admin

#查看建立的账号

kubectl get secret
kubectl describe secret def-ns-admin-token-r6dss

#创建一个集群的配置文件

kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt --server="https://10.129.60.211:6443" --embed-certs=true --kubeconfig=/tmp/def-ns-admin.conf

#查看创建账号的token

D=$(kubectl get secret def-ns-admin-token-r6dss -o jsonpath={.data.token}|base64 -d)

#给配置文件def-ns-admin.conf添加token信息

kubectl config set-credentials def-ns-admin --token=$D --kubeconfig=/tmp/def-ns-admin.conf

#给配置文件def-ns-admin.conf添加权限信息

kubectl config set-context def-ns-admin@kubernetes --cluster=kubernetes --user=def-ns-admin --kubeconfig=/tmp/def-ns-admin.conf

#给配置文件def-ns-admin.conf添加权限信息

kubectl config use-context def-ns-admin@kubernetes --kubeconfig=/tmp/def-ns-admin.conf

#将文件拷贝到需要访问的电脑上


#去B集群创建一个账号
重复上面的操作,或者使用默认的kubectl的config


#合并俩个集群的配置文件
copy到一个目录下面:
KUBECONFIG=def-ns-admin.conf:/etc/kubernetes/admin.conf   kubectl config view --flatten > config
Mr-Liuqx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud with Kubernetes 之 注册与发现
10-09 353
Spring Cloud with Kubernetes 之 注册与发现 有了 Kubernetes 注册发现,我们就可以抛弃 Eureka Server。 Maven 父项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi.
android使用自定义证书的https连接
08-08
使用.bks格式的自定义证书的HTTPS连接方式,验证自定义证书。 参考博客http://blog.csdn.net/raptor/article/details/18898937
kubernetes 证书详解
Kry1702的博客
03-21 1707
类型 CA CN 认证 描述 官方 Etcd etcd/ca.crt,key server.crt,key server, client 对外提供服务 kube-etcd peer.crt,key server, cl...
手动为k8s的kubelet生成有效期30年的证书
warlice的专栏
04-09 1894
1. 沿用kubelet原有的ecc算法生成的 key,假设为mykey。生成一个csr 2. 生成csr之前,通过ini格式,配置一个req配置文件。 cat req.conf [req] prompt = no distinguished_name = dn input_password = 123456 #这个密码好像没啥用 [dn] O = system:nodes...
深入理解kubelet认证和授权
徒行沙漠
01-31 2295
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1548
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
tomcat自定义证书
07-31
https://blog.csdn.net/q975583865/article/details/80249375
自定义证书查询,可以增加修改字段,和自定义查询条件
03-23
1自定义证书查询,可以增加修改字段,和自定义查询条件
帝国CMS自定义列表的使用实例
09-29
主要为大家介绍了帝国CMS自定义列表的使用实例,需要的朋友可以参考下
QT 自定义控件编译与使用
05-30
qt自定义控件编译和使用流程,以及在使用过程中遇到的一问题及需要注意的地方
(解压密码123)ET2019免狗版鼠标直接放大缩小版
02-15
(解压密码123)ET2019免狗版鼠标直接放大缩小版
ET2019[免狗滚轮版]2.54.exe
05-20
ET免狗荣耀版自带算绒系统,滚轮放大缩小免按CRTL,打版可看图片跟带狗的一样
Kubernetes 证书配置
小楼一夜听春雨,深巷明朝卖杏花
03-29 1020
Kubernetes 证书配置大全 证书是网络通信的安全的要素,是现代网络通信的基本配置。各种远程调用的安全都离不开非对称加密提供的保障。 下载证书工具 cfssl 是 CloudFlare 开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具(cfssl, cfssljson)用于签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。与 OpenSSL 相比,cfssl 使用起来更简单。 Github 地址:https://github.com/...
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2702
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3834
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
Kubernetes 安全之访问控制 API 请求访问控制和认证
小楼一夜听春雨,深巷明朝卖杏花
03-27 787
本文将主要分享以下三方面的内容: Kubernetes API 请求访问控制 Kubernetes 认证 Kubernetes RBAC Security Context 的使用 一、Kubernetes API 请求访问控制 访问控制 大家都知道访问控制是云原生中的一个重要组成部分。也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段。 那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作。这里的资源就是在 Kubernetes 中我们.
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1307
访问kubelet接口的认证和授权
kubelet证书过期解决方法
weixin_30588827的博客
10-25 1177
昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程。 查看kubelet日志,发现不停的打印证书过期相关提示信息。 以下操作基于kubernetes集群版本:v1.6.6 kubelete 证书默认有效期一年 1.查看证书有效期,这里使用以前下载的cfssl-certinfo curl -s -L -o /usr...
github conpilot 使用自定义证书连接
最新发布
08-20
使用自定义证书连接到Github Conpilot,你需要进行以下步骤: 1. 首先,你需要申请一个域名,并在域名管理后台添加域名转发(CNAME)到你的Github用户名.github.io。这样可以将你的域名与Github Pages绑定起来。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值