kubernetes创建只具有只读权限的账号

最新推荐文章于 2024-04-30 21:59:16 发布
最新推荐文章于 2024-04-30 21:59:16 发布
阅读量599 收藏 2
点赞数 1
文章标签: kubernetes github 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37256882/article/details/128387151
版权

日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。

本文创建一个只具有只读权限的ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限。

安装cfssl和cfssljson工具用于生成证书

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

新增用于生成Client证书的Json文件

[root@VM-12-8-centos readonly]# cat readonly.json
  {
    "CN": "readonly",  
    "hosts": [],
    "key": {
    "algo": "rsa",
    "size": 2048
    },
    "names": [
    {
      "C": "CN",
      "ST": "HangZhou",
      "L": "HangZhou", 
      "O": "dev:readonly", 
      "OU": "dev"         
    }
    ]
  }
[root@VM-12-8-centos readonly]# cat ca-config-readonly.json
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
          "signing",
          "key encipherment",
          "server auth",
          "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}

创建readonly用户Client证书和Client私钥

先将集群的ca证书拷贝到当前目录下

[root@VM-12-8-centos pki]# cp /etc/kubernetes/pki/ca.crt /data/readonly/
[root@VM-12-8-centos pki]# cp /etc/kubernetes/pki/ca.key /data/readonly/

随后运行命令生成

cfssl gencert --ca ca.crt --ca-key ca.key --config ca-config-readonly.json --profile=kubernetes readonly.json | cfssljson --bare readonly

k8s相关配置

拷贝config文件到当前目录

cp  /root/.kube/config  ./readonly.kubeconfig

运行以下命令,添加readonly至K8s集群User用户中,新增只读上下文,及将只读上下文配置到readonly.kubeconfig文件中

[root@VM-12-8-centos readonly]# kubectl config set-credentials readonly   --certificate-authority=/data/readonly/ca.crt  --embed-certs=true  --client-key=/data/readonly/readonly-key.pem  --client-certificate=/data/readonly/readonly.pem  --kubeconfig=/data/readonly/readonly.kubeconfig
User "readonly" set.

[root@VM-12-8-centos readonly]# kubectl config set-context readonly-context --cluster=kubernetes  --user=readonly  --kubeconfig=readonly.kubeconfig
Context "readonly-context" created.

[root@VM-12-8-centos readonly]# kubectl config use-context readonly-context --kubeconfig=readonly.kubeconfig
Switched to context "readonly-context".

创建clusterrole

[root@VM-12-8-centos readonly]# cat readonly_role.yml
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: readonly-clusterrole 
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - pods/attach
  - pods/exec
  - pods/portforward
  - pods/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - configmaps
  - endpoints
  - persistentvolumeclaims
  - replicationcontrollers
  - replicationcontrollers/scale
  - secrets
  - serviceaccounts
  - services
  - services/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - apps
  resources:
  - deployments
  - deployments/rollback
  - deployments/scale
  - statefulsets
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - autoscaling
  resources:
  - horizontalpodautoscalers
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - batch
  resources:
  - cronjobs
  - jobs
  - scheduledjobs
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - ingresses
  - replicasets
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: cluster-readonly            
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole         
  name: readonly-clusterrole          # 将名为readonly-clusterrole的Clusterrole与名为readonly的K8s User进行绑定
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: readonly

[root@VM-12-8-centos readonly]# kubectl apply -f readonly_role.yml
clusterrole.rbac.authorization.k8s.io/readonly-clusterrole created
clusterrolebinding.rbac.authorization.k8s.io/cluster-readonly created

验证

以上可以看到,root账户下,使用此配置权限已被限制

现在配置devis账户,使其只有只读的操作权限

 将readonly.kubeconfig拷贝到devis的家目录下

/home/devis/.kube/readonly.kubeconfig

并在.bash_profile下新增配置

KUBECONFIG=/home/devis/.kube/readonly.kubeconfig
export KUBECONFIG

重新登录后,我们的配置是成功的,达到了只有只读操作权限的目的

 

 

beretxj_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vmware VCenter 添加只读权限用户
01-15
Vmware VCenter 添加角色、只读权限、用户,有图,有步骤,比较详细。经过实际测试、可延展权限使用。
kubernetes创建只读用户
国产-达芬奇
02-26 1038
一、配置文件 1、kubeconfig文件 /root/.kube/config文件内容如下: apiVersion: v1 clusters: - cluster: certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUM1后面的省略了。。。。。 server: https://192.168.1.10:6443 name: kubernetes contexts: - context: ...
创建对K8s资源对象仅有只读权限的Linux系统用户
weixin_40930677的博客
03-04 637
一. 基础知识: K8s默认采用RBAC鉴权方式,包含4个顶级资源对象,Role/ClusterRole/RoleBinding/ClusterRoleBinding Role/ClusterRole:角色和集群角色,角色/集群角色 = 一组对K8s资源对象操作权限的集合(如get pod,delete deployment等操作均需要权限) RoleBinding/ClusterRoleBinding:角色绑定和集群角色绑定,通过这两种资源对象,可以将Role/ClusterRole与集群中对象进行绑定
为K8S集群建立只读权限帐号
01-18 486
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://pkg.cfs...
kubernetes创建Dashboard只读账号
linus.lin的博客
08-04 269
kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只读账号kubernetes创建Dashboard只
Kubernetes RBAC Authorization(基于角色的访问控制)
山不转的博客
07-12 4844
基于角色的访问控制(RBAC),是一种其于用户的角色控制其对资源访问的方法。RBAC利用rbac.authorization.k8s.io API组实现授权决策,允许管理通过kubernetes API动态配置策略。在kubernetes 1.8版本中RBAC成为稳定特性,由rbac.authorization.k8s.io/v1 API在后端实现。通过为apiserver指定--authoriz...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2051
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2019
kubernetes(k8s)之rabc权限
如何创建用户只读权限的kubeconfig
weixin_41831919的博客
07-05 979
创建kube-reader目录 mkdir /root/kube-reader cd /root/kube-reader 安装cfssl ,执行脚本 #!/bin/bash wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 chmod +x cfssl_linux-amd64 mv cfssl_linux-amd64 /usr/local/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_.
K8s开启容器内的文件系统只读功能
sre救赎之路
04-03 462
K8s启动的容器根目录权限可读写,存在安全隐患。
SQL Server 2008 数据库中创建只读用户的方法
09-10
主要介绍了SQL Server 2008 数据库中创建只读用户的方法,为了保护数据库的安全,需要给不同的使用者开通不同的访问用户,那么如何简单的控制用户的权限呢?下面我们就创建一个只读用户,给大家学习使用
orcle只读权限设置
01-06
orcle只读权限设置.doc
SQL SERVER 授予新用户某个库所有表的只读权限
02-21
SQL SERVER 授予新用户某个库所有表的只读权限
K8s(二十三):Pod的生命周期详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-21 1760
🔴 K8s(二十三):Pod的生命周期详解
k8s环境prometheus operator监控集群外资源
最新发布
mingqing的博客
04-30 363
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test
K8s初次入门
qq_43982499的博客
04-27 879
k8s 集群主机清单事先准备所有的k8s集群主机卸载防火墙和(docker、k8s建议禁用swap)安装工具修改配置文件配置内核参数设置Tab补全功能键对master主控节安装测试系统环境主控节点初始化安装计算节点(node系列)1.先从master主机获取凭证2.对各个计算节点进行配置(是否防火墙关掉/禁用swap、安装k8s相关软件包、配置内核参数)3.逐个加入master集群通过master主机查看所有加入集群的计算节点主机。
K8s: 公有镜像中心和私有镜像中心的搭建
Wang的专栏
04-26 856
如果 hub.docker.com 在国内无法访问,可以在阿里云上创建 docker hub。在 hub.docker.com 上注册账号 (国内一般访问不了,原因不多说)找到 Create Repository 按钮就行仓库的创建。这样就在官方创建了一个仓库,比如地址为: xx/y-y。现在,我将本地的docker镜像,推送到这个仓库里。1 )在 官方docker镜像中心推送。2 )在阿里云docker镜像中心搭建。配置国内 Docker 镜像源 $为官方docker镜像中心加速。配置之后,需要重启 $
oracle创建只读账号plsql
08-06
要在Oracle数据库中创建一个只读账号,可以按照以下步骤进行操作: 1. 登录到Oracle数据库的超级用户(例如sys)。 2. 使用CREATE USER语句创建一个新的用户。例如,使用以下命令创建一个名为readonly的只读用户: CREATE USER readonly IDENTIFIED BY password; 这将创建一个名为readonly的用户,并设置其密码为password。请记住替换password为一个安全的密码。 3. 授予只读用户SELECT权限。使用以下命令将SELECT权限授予readonly用户: GRANT SELECT ANY TABLE TO readonly; 此命令将允许readonly用户对数据库中的任何表进行SELECT操作,即只读访问。 4. 这将创建一个只读账号只读账号只能查询数据,不能修改、插入或删除数据。只读账号也不能创建表或视图,也不能更改表结构。只读账号也不能执行任何DDL操作。 5. 完成后,可以使用以下命令对只读账号进行测试: CONNECT readonly/password 这将使您能够使用只读用户名readonly和密码password登录到数据库。 通过以上步骤,您将能够创建一个只读账号并让其能够查询数据库中的数据,但不能进行任何修改操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值