配置k8s资源权限步骤

最新推荐文章于 2023-08-25 16:46:44 发布
最新推荐文章于 2023-08-25 16:46:44 发布
阅读量510 收藏
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36843946/article/details/128704337
版权

目录

1、创建用户账户(onlyreadaccount为账户名,可自定义):

kubectl create serviceaccount "onlyreadaccount" -n kube-system

2、创建角色,配置权限:

kubectl create clusterrole readResourceRole --verb=get,list,watch --resource=pods,nodes,svc,ns,deployments,ingresses,pods/log

3、绑定角色(账户绑定角色):

kubectl create clusterrolebinding "onlyreadaccount"                              --clusterrole=readResourceRole                                                    --serviceaccount=kube-system:onlyreadaccount

4、获取token:

kubectl -n kube-system describe $(kubectl -n kube-system get secret -n kube-system -o name | grep onlyreadaccount) | grep token

token如下:
eyJhbGciOiJSUzI1NiIsImtpZCI6Imdqc1dOTXhvNUxxZHRyVDRvaVpMdEYyYl9xVTZveHRHVm5KWjJOWmcweDQifQ.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.ZFA2Hss6tCjFHFONIfAstTDNNVsqbM0E4Asrgq9fRnOnJ7FTch583vhTbWDyOMrm4mNbSVexAecoGNcLl7b1cMaGw3gBqTvVMreQRJdCGv-27sptAewg5MkBZk6lxXqg9E_lP4Lbf6Niaohom08u_j4Q-SwxS3cvO8S7q-V5MNZXwkqVebloFHPEy10HkyGQZJi6SkTmP-JIL15t8bkTx64yx2YVMbXsdh0uxGJbYVzVYdMzRTWbP1l6w68Anbcm7DVj5R5PMBVq1X-L8DEXeZuJRlLNNP7np95QzbayPJo6FbZlgV63rfECDxsPDwjd7zkZPgXRPdpTO8_MyH77Xg

5、测试token权限:

curl -k -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6Imdqc1dOTXhvNUxxZHRyVDRvaVpMdEYyYl9xVTZveHRHVm5KWjJOWmcweDQifQ.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.ZFA2Hss6tCjFHFONIfAstTDNNVsqbM0E4Asrgq9fRnOnJ7FTch583vhTbWDyOMrm4mNbSVexAecoGNcLl7b1cMaGw3gBqTvVMreQRJdCGv-27sptAewg5MkBZk6lxXqg9E_lP4Lbf6Niaohom08u_j4Q-SwxS3cvO8S7q-V5MNZXwkqVebloFHPEy10HkyGQZJi6SkTmP-JIL15t8bkTx64yx2YVMbXsdh0uxGJbYVzVYdMzRTWbP1l6w68Anbcm7DVj5R5PMBVq1X-L8DEXeZuJRlLNNP7np95QzbayPJo6FbZlgV63rfECDxsPDwjd7zkZPgXRPdpTO8_MyH77Xg" https://134.64.110.xxx:18611/api/v1

https://134.64.110.xxx:18611/apis/extensions/v1beta1/namespaces/default/ingresses/
https://134.64.110.xxx:18611/apis/apps/v1/deployments
https://134.64.110.xxx:18611/api/v1/namespaces
https://134.64.110.xxx:18611/api/v1/nodes
https://134.64.110.xxx:18611/api/v1/services
https://134.64.110.xxx:18611/api/v1/namespaces/{pod}/log

杜林晓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
k8s部署
02-11 268
kubelet组件简介 kubernetes 是一个分布式的集群管理系统,在每个节点(node)上都要运行一个 worker 对容器进行生命周期的管理,这个 worker 程序就是 kubelet kubelet 的主要功能就是定时从某个地方获取节点上 pod/container 的期望状态(运行什么容器、运行的副本数量、网络或者存储如何配置等等),并调用对应的容器平台接口达到这个状态。 kube...
K8s集群部署配置文件包
10-27
同时,了解并遵循最佳实践,如使用RBAC进行权限控制、定期备份ETCD数据、监控集群状态等,都是确保K8s集群稳定运行的重要步骤。通过深入理解并熟练运用这些配置文件,你将能够构建出高效、可靠的Kubernetes集群。
kubernetes多租户权限管理
IForFree
03-21 311
用户授权:" --resource="
(五)k8s实战-配置管理
落拓子ю的博客
08-25 778
对于 subPath 的方式,我们可以取消 subPath 的使用,将配置文件挂载到一个不存在的目录,避免目录的覆盖,然后再利用软连接的形式,将该文件链接到目标位置。由于 configmap 我们创建通常都是基于文件创建,并不会编写 yaml 配置文件,因此修改时我们也是直接修改配置文件,而 replace 是没有 --from-file 参数的,因此无法实现基于源配置文件的替换,此时我们可以利用下方的命令实现。1)默认方式:会更新,更新周期是更新时间 + 缓存时间。2)subPath:不会更新。
Kubernetesk8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-06 4881
文章目录环境准备token验证&&kubeconfig验证授权了解authorization-mode授权模式AlwaysAllow&&AlwaysDenyRBAC模式说明【重要】查看admin权限基本概念原理role测试说明创建一个role排错处理了解sa安装dashboard资源限制 环境准备 首先需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME STATUS ROLES AGE
sonarqube9.3项目权限配置
耕耘
04-24 2648
Sonarqube支持对项目进行授权,可以授权给用户或者组,权限类型包括浏览、查看源码、问题管理员、管理安全热点、管理员以及执行分析等。 一、设置项目权限(用户或组) 使用系统管理员登录 点击“配置” 在项目列表中后面的“修改权限”按钮 在项目权限修改页面,可以设置 项目类型(公开、私有) 和单独项目权限(浏览、查看源码、问题管理员、管理安全热点、管理员、执行分析) 注意:系统创建的用户,默认会自动加入sonar-users组。 并且分配如下权限 源代码放
k8s集群环境搭建资源
10-27
8. **安全性**:k8s提供了RBAC(Role-Based Access Control)进行权限管理,通过Role和RoleBinding来定义用户或用户组的权限。此外,还有NetworkPolicy来控制Pod间的网络通信。 9. **日志、监控和调试**:k8s集群...
k8s 增加 windows server 2019 所需资源
09-11
Kubernetesk8s)集群中添加Windows Server 2019节点是为支持运行基于Windows的应用程序。Kubernetes最初主要设计用于管理基于Linux的容器,但随着Windows Server容器的普及,它也逐渐增加了对Windows操作系统的...
阿里云k8s 一键部署nacos2.0.3
01-10
5. **部署与验证**: 使用`kubectl apply -f your-nacos-deployment.yaml`命令将配置文件应用到k8s集群,然后通过`kubectl get pods`和`kubectl describe svc`命令检查Nacos服务的状态和访问信息。 6. **健康检查与...
calico flannel k8s 安装yaml文件
03-05
Kubernetesk8s)集群中,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题中,我们将探讨两个流行的网络插件:Calico和Flannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
k8s进阶3——资源配额、资源限制
百慕卿君博客
05-23 3509
1、ResourceQuota多种使用情景。 2、LimitRange多种使用情景。
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2432
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3098
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 515
【代码】K8S创建用户账号User Account并赋予权限
k8s rbac 权限管理控制创建过程+理论知识
不忘初心,方得始终
01-17 597
前言现在RBAC主要解决的一个问题,就是:所有人都拿的是admin的config文件,因此所有人都拥有最高权限,他可以为所欲为,从而很有可能在不知情的情况下,破坏k8s集群。因此我们需要对其进行控制,给他创建admin之外的账号,让他无法操作k8s系统重要部分的namespace。 先不说原理,直接说操作步骤 一、创建证书创建user私钥 [root@node-01 ~]cd /etc/kuber......
K8S 笔记: 权限账号角色创建流程
255.255.255.0
06-03 601
权限账号创建流程 #创建zbx账号到kube-system空间 kubectl create serviceaccount zbx -n kube-system #创建角色kubectl create -f myroly.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kube-system name: myrolezzzzzzzzzzz rules: - apiGroups: [""
原创丨Kubernetes 如何只授予某一 Namespace 的访问权限
静觅
08-03 1355
“ 阅读本文大概需要 3 分钟。 ”最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2164
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 4642
可以实现 SA 具有操作别的 namespace 中资源权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
kubernetes K8S超详细安装部署手册
最新发布
02-02
kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的 程序,来对节点中的容器进行管理。目的是实现资源管理的自动化,主要提供了 如下的主要功能: 自我修复:一旦某一个容器崩溃,能够在1秒中左右迅速启动新的容器 弹性伸缩:可以根据需要,自动对集群中正在运行的容器数量进行调整 服务发现:服务可以通过自动发现的形式找到它所依赖的服务 负载均衡:如果一个服务起动了多个容器,能够自动实现请求的负载均衡 版本回退:如果发现新发布的程序版本有问题,可以立即回退到原来的版本 存储编排:可以根据容器自身的需求自动创建存储卷

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杜林晓

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值