Kubernetes 用户认证-证书签名请求

最新推荐文章于 2024-02-22 15:54:33 发布
最新推荐文章于 2024-02-22 15:54:33 发布
阅读量845 收藏
点赞数
分类专栏: kubernetes 初级篇 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37377136/article/details/119710472
版权
本文介绍了如何在Kubernetes中为普通用户创建证书签名请求(CSR),批准CSR,获取证书,并配置Role和RoleBinding以允许用户访问集群资源。流程包括生成私钥、CSR,批准CSR,创建角色和角色绑定,最后将凭据添加到kubeconfig。
摘要由CSDN通过智能技术生成

官方证书签名请求

一、创建私钥

普通用户

为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签发的证书, 然后将该证书作为 API 调用的 Certificate 头或通过 kubectl 提供。

创建私钥

下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 了解标准组的信息。

openssl genrsa -out myuser.key 2048
openssl req -new -key myuser.key -subj "/CN=dms" -out myuser.csr

创建 CertificateSigningRequest

创建一个 CertificateSigningRequest,并通过 kubectl 将其提交到 Kubernetes 集群。 下面是生成 CertificateSigningRequest 的脚本。

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: dms
spec:
  groups:
  - system:authenticated
  request: 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
  signerName: kubernetes.io/kube-apiserver-client
  usages:
  - client auth
EOF

需要注意的几点:

  • usage 字段必须是 ‘client auth
  • request 字段是 CSR 文件内容的 base64 编码值。 要得到该值,可以执行命令 cat myuser.csr | base64 | tr -d "\n"

批准证书签名请求

使用 kubectl 创建 CSR 并批准。

获取 CSR 列表:

kubectl get csr

批准 CSR:

kubectl certificate approve myuser

取得证书

从 CSR 取得证书:

kubectl get csr/myuser -o yaml

证书的内容使用 base64 编码,存放在字段 status.certificate

从 CertificateSigningRequest 导出颁发的证书。

kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

创建角色和角色绑定

创建了证书之后,为了让这个用户能访问 Kubernetes 集群资源,现在就要创建 Role 和 RoleBinding 了。

下面是为这个新用户创建 Role 的示例脚本:

kubectl create role developer --verb=create --verb=get --verb=list --verb=update --verb=delete --resource=pods

下面是为这个新用户创建 RoleBinding 的示例命令:

kubectl create rolebinding developer-binding-myuser --role=developer --user=dms

添加到 kubeconfig

最后一步是将这个用户添加到 kubeconfig 文件。 我们假设私钥和证书文件存放在 “/home/vagrant/work/” 目录中。

首先,我们需要添加新的凭据:

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/csr/kubeconfig set-credentials dms --client-key=myuser.key --client-certificate=myuser.crt --embed-certs=true

然后,你需要添加上下文:

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/csr/kubeconfig set-context dms --cluster=dms --user=dms

再添加集群信息

export KUBECONFIG_SAVED=192.168.11.128

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/csr/kubeconfig \
set-cluster dms \
--server=https://$KUBECONFIG_SAVED:6443 \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true

来测试一下,把上下文切换为 myuser

kubectl config use-context myuser
还是那片西瓜吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl 生成csr_如何使用OpenSSL生成证书签名请求(CSR)?
cunjiu9486的博客
10-08 3584
openssl 生成csrOpenSSL provides different features about security and certificates. Public and Private Key cryptography also supported by OpenSSL. Websites, Firewalls and other applications uses Certifi...
2、Kubernetes 集群安全 - 认证1
08-04
在这种认证模式下,客户端和服务器都需要拥有由受信任的证书颁发机构(CA)签名证书。例如,Controller Manager和Scheduler由于在同一台机器上运行,可以直接通过API Server的非安全端口访问,而其他如kubectl、...
证书请求签名,配置文件详解(图)
禚来强(亿刀) 的iphone开发专栏--我们 一群 热爱 移动开发,如果你也是,就加入我们。
05-30 3708
详情查看:http://developer.apple.com/library/ios/#documentation/xcode/conceptual/iphone_development/128-Managing_Devices_and_Digital_Identities/devices_and_identities.html#//apple_ref/doc/uid/TP40007959-CH4-SW2
在进行网站SSL验证时申请CSR(证书签名请求)
andy1219111的专栏
06-23 7862
最近在给自己公司的网站进行SSL验证的设置,对于证书的购买问题,在这里就不多说了,请参考该文章,
OpenSSL的证书, 私钥和签名请求(CSRs)
IOsetting的专栏
06-24 1032
概述 OpenSSL是一个多用途的工具, 适用于涉及Public Key Infrastructure(PKI), HTTPS(HTTP over TLS)的用途. 这份文档提供关于OpenSSL命令在常见场景下的使用说明, 包括生成私钥, 证书签名请求, 和证书格式转换. 如何使用 如果您不熟悉证书签名请求(CSRs), 先读第一节 除了第一节, 这份文档以备忘纸条(cheat sh...
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书或CA签名证书的生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
最新发布
chenhao0568的专栏
02-22 3798
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA或证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
1. **强认证**:使用TLS证书进行节点间的通信,同时对API服务器进行基于令牌的身份验证。启用ABAC(Attribute-Based Access Control)、RBAC(Role-Based Access Control)或Webhook等策略,限制用户和Service...
使用OpenSSL生成Kubernetes证书的介绍
09-30
4. 服务器证书签名请求(CSR,Certificate Signing Request):服务器证书的申请文件,用于CA签署: ``` openssl req -new -key server.key -subj "/CN=host121" -out server.csr ``` 5. 生成服务器证书:最后,...
Kubernetes数字证书体系浅析.docx
10-24
- **自签名证书**:由实体自己创建并签署的证书,通常用于测试目的或小型内部系统。 - **证书链**:一系列证书的集合,用于建立信任链。从终端实体证书到根证书的路径上,每个证书都由前一个证书验证。 - **证书有效...
二进制搭建 Kubernetes v1.20 依赖包与脚本
08-03
`cfssl`用于签名证书请求,`cfssl-certinfo`用来查询证书信息,而`cfssljson`则帮助将JSON格式的证书信息转换为其他格式。 接下来是`kubernetes-server-linux-amd64.tar.gz`,这是Kubernetes服务器的二进制包,包含...
CertificateSigningRequest.certSigningRequest
08-24
为了appstore上架安排的技术网站,希望您能喜欢,做最好的我们!
kubernetes 二进制部署证书续签
weixin_43490243的博客
10-09 316
experimental-cluster-signing-duration=87600h0m0s 为kubelet客户端证书颁发有效期10年。- feature-gates=RotateKubeletServerCertificate=true 启用server证书颁发。2. 配置kubelet证书申请自动签发。再查看证书有效期,可以看到已经是十年。2、配置kubelet组件。
K8S-用户认证
qq_45335806的博客
10-29 7285
普通用户 https://kubernetes.io/zh/docs/reference/access-authn-authz/certificate-signing-requests/ 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签名证书, 然后将该证书作为 API 调用的证书头或通过 kubectl 提供出来。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 字段很重要。CN 是用户名,O
K8S 认证和授权
qq_39124041的博客
02-14 4487
k8s认证方式一般为token和kubeconfig
k8s认证
chengfangdong的博客
10-21 919
服务端保留公钥和私钥,客户端使用root CA认证服务端的公钥一共有多少证书: *Etcd:kubernetes:所需证书如下: 制作api-server client证书: 制作脚本如下:
Kubernetes身份认证和授权操作全攻略:上手操作Kubernetes身份认证
Rancher
08-16 737
这是本系列文章的第二篇,在上篇文章中我们介绍了Kubernetes访问控制。在本文中,我们将通过上手实践的方式来进一步理解身份认证的概念。 在生产环境中,Kubernetes管理员使用命名空间来隔离资源和部署。命名空间作为一个逻辑边界来强制基本访问控制。 假设现在我们有个新的管理员叫Bob,要加入开发团队为研发组管理Kubernetes部署。我们现在需要给他提供足够的访问权限以便于...
ansible 建 kubernetes 证书签名请求_《蹲坑学K8S》之22-1:Kubernetes认证机制
weixin_39947961的博客
11-20 105
当在访问Kubernetes资源开启TLS时,所有的请求都需要进行认证Kubernetes 支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的username会传入授权模块做进一步授权验证;而对于认证失败的请求则返回 HTTP 401。注意:虽然Kubernetes认证和授权用到了User和Group,但Kubernetes并不直接管理用户,不能创建U...
kubernetes kubectl 签名TLS证书
qq_35753140的博客
06-04 1037
kubernetes 集群可以为证书签名,用于集群内部的TLS通信,ca就是集群的ca,每个pod里面serviceaccount的secret都带着。 1. 创建证书签名请求-csr $ cat <<EOF | ./cfssl genkey - | ./cfssljson -bare server { "hosts": [ "nginx.default.svc.cluster.local" ], "CN": "nginx.default.svc.cluster.local"
【博客539】使用openssl手动为k8s集群签发证书
qq_43684922的博客
11-19 1650
1、生成ca私钥:生成一个 2048 位的 ca.key 文件2、基于ca私钥,生成根(root)证书:在 ca.key 文件的基础上,生成 ca.crt 文件。
如何查找"kubernetes-dashboard-certs
05-30
要查找 Kubernetes Dashboard 中 "kubernetes-dashboard-certs" 证书文件,可以执行以下步骤: 1. 确定 Kubernetes Dashboard 的部署方式。如果是使用 Helm 部署的,则可以通过 Helm Chart 中的 values.yaml 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值