k8s-RBAC

最新推荐文章于 2024-01-05 16:48:13 发布
最新推荐文章于 2024-01-05 16:48:13 发布
阅读量568 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39122146/article/details/111419679
版权

一、认证及sa

1.进入到证书目录

cd /etc/kubernetes/pki/

2.创建kxq用户的私钥

(umask 077; openssl genrsa -out kxq.key 2048 )

3.创建kxq用户的证书

openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq"

4.利用ca.crt,ca.key进行签证

[root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out kxq.crt -days 365
Signature ok
subject=/CN=kxq
Getting CA Private Key

5.查看证书

[root@master pki]# openssl x509 -in kxq.crt -text -noout
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            b4:37:49:0b:95:9e:00:8f
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Dec 20 10:00:38 2020 GMT
            Not After : Dec 20 10:00:38 2021 GMT
        Subject: CN=kxq
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:be:96:97:ca:44:07:cc:6b:82:44:f5:5c:d8:70:
                    e3:bf:83:4b:8c:eb:91:27:42:f8:a7:b5:95:db:45:
                    27:6b:b2:16:84:a7:6d:4f:03:6d:2f:a7:7d:05:79:
                    fd:18:84:2d:e7:93:eb:46:90:0a:74:cc:b0:4d:78:
                    7b:a2:30:55:94:dd:01:6d:ce:04:79:a0:4f:c1:15:
                    77:b4:dd:dd:19:4d:7c:e3:0e:bb:4d:36:69:f9:40:
                    14:2e:24:03:4c:85:d5:65:ad:04:4a:c4:38:45:46:
                    40:bd:45:17:90:39:f3:49:fe:f0:1e:73:35:e7:74:
                    b5:94:de:3c:27:50:97:94:25:f9:b4:87:c1:46:8f:
                    c4:24:f5:24:6e:28:88:be:28:81:2a:f9:bc:14:a3:
                    5a:a5:74:bb:63:77:4d:22:af:2c:b1:3a:7f:24:12:
                    70:26:34:57:40:a0:18:27:10:6c:73:27:a4:30:08:
                    8f:d9:e9:35:6f:da:70:a3:62:c8:9a:9f:56:8a:ca:
                    cb:4f:82:74:73:d3:ae:55:83:b2:3e:e2:99:67:8c:
                    b0:2a:ad:97:a0:46:a5:d7:d6:de:36:9b:7c:75:2d:
                    15:f0:8e:bd:0b:d9:4c:cb:fd:d4:f4:ab:cc:cb:33:
                    05:10:12:eb:e9:16:40:16:34:7d:f7:9c:7c:31:e9:
                    ec:7d
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         52:76:fe:7f:69:53:af:bb:aa:d0:f5:18:d6:3f:f5:83:d1:30:
         56:04:8c:9c:45:6d:45:3c:33:90:44:be:a4:18:11:3a:0f:a5:
         63:fc:bc:20:ea:c6:51:b4:11:04:7d:ee:28:bc:30:80:11:31:
         21:22:a4:43:6e:e0:eb:b4:97:d6:1e:5b:d2:2f:34:99:68:e3:
         5d:21:36:eb:c7:fc:50:b4:69:95:9a:19:93:c8:4a:e4:d7:7b:
         76:a9:1d:e1:44:ce:49:94:a2:0e:d2:e6:cd:79:50:23:f3:e2:
         35:8a:50:71:46:2a:9c:ed:5f:40:36:98:18:ed:fb:01:f5:a5:
         a5:e0:bf:a0:90:fc:c9:ad:85:69:06:16:8f:40:a7:3e:02:ef:
         7b:09:20:39:32:4a:79:00:f2:9e:34:cb:16:24:b3:94:db:13:
         23:23:ca:e6:ac:94:90:b7:b2:57:ca:ed:09:a7:a0:00:d7:d1:
         65:e8:1a:eb:de:04:ad:f1:b2:7b:4b:ab:01:44:4e:c9:86:5e:
         4c:c2:b0:8d:67:c2:82:7b:b9:74:4e:f3:26:ec:5a:22:5d:60:
         a6:2a:b5:e1:92:27:3c:15:e4:06:38:b7:ed:19:d9:8c:d1:06:
         54:32:b8:e6:d1:aa:d2:69:37:29:85:a6:ed:07:93:a2:ae:21:
         04:ae:97:47

6.设置用户账号信息添加到去认证k8s集群的信息

[root@master pki]# kubectl config set-credentials kxq --client-certificate=kxq.crt --client-key=kxq.key --embed-certs=true
User "kxq" set.

7.查看

在这里插入图片描述
8.设置上下文

[root@master pki]# kubectl config set-context kxq@kubernetes --cluster=kubernetes --user=kxq
Context "kxq@kubernetes" created.

在这里插入图片描述

9.设置当前上下文

[root@master pki]# kubectl config use-context kxq@kubernetes 
Switched to context "kxq@kubernetes".

此时kubectl get pods是访问不了任何资源的。
(集群我们没有设置,可以使用kubectl config set-cluster --help 查看如何设置)

10.设置集群

[root@master pki]# kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://192.168.10.180:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
Cluster "mycluster" set.

[root@master pki]# cat /tmp/test.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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
    server: https://192.168.10.180:6443
  name: mycluster
contexts: null
current-context: ""
kind: Config
preferences: {}
users: null

也可以查看我的另一篇文章:k8s-Authorization鉴权

二、RBAC授权

我测试的是基于user用户的,更多可以访问官网:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/
1.查看创建的方法:

kubectl create role --help

2.创建简单的role

[root@master helm]# kubectl create role pods-reader --verb=get,list --resource=pods --dry-run=client -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  creationTimestamp: null
  name: pods-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list

3.rolebinding

[root@master rbac]# cat read-pods-rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kxq-read-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pods-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: testuser

4.clusterrole

[root@master rbac]# cat cluster-role-reader.yaml 

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  name: cluster-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

5.clusterrolebinding

[root@master rbac]# cat clusterrolebinding.yaml 

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  creationTimestamp: null
  name: kxq-read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: kxq
小二来碗面
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
master-lin#DevOps-1#小白都会设置的k8s-rbac1
07-25
前言对于K8S新手来说,K8S RBAC 不能很好的掌握,今天推荐一款非常不错的 K8S RBAC 配置工具 permission-manager,小白都能配置
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
k8s:RBAC
m0_50434960的博客
03-12 445
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1442
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
Kubernetes K8S之鉴权RBAC详解
踏歌行的专栏
12-06 1818
Kubernetes K8S之鉴权概述与RBAC详解
K8s之权限管理
a13568hki的博客
04-29 4232
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
使用kubeadm在CentOS 7上安装Kubernetes 1.8
Black Winds的专栏
06-14 1483
1. 系统配置1.1 关闭防火墙systemctl stop firewalldsystemctl disable firewalld1.2 禁用SELinuxsetenforce 0编辑文件/etc/selinux/config,将SELINUX修改为disabled,如下:SELINUX=disabled1.3 关闭系统SwapKubernetes 1.8开始要求关闭系统的Swap,如果不关闭...
K8s-ceph-csi-rbd连接资源
06-15
在容器化世界中,Kubernetes(K8s)是一个广泛使用的开源平台,用于自动化容器的部署、扩展和管理。Ceph则是一个强大的分布式存储系统,提供了块存储、对象存储和文件存储等多种服务。RBD(RADOS Block Device)是...
k8s-utils
02-13
5. **安全与权限**:在安全方面,k8s-utils可能会包含工具来检查和审计集群的安全配置,确保遵循最佳实践,如RBAC(Role-Based Access Control)策略的验证。 6. **版本控制与部署**:k8s-utils可能还提供与Git集成...
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-rbac.yaml` 文件涉及到 Kubernetes 的角色基础访问控制(Role-Based Access Control, RBAC)。在 Kubernetes 中,RBAC 用于限制不同用户和服务帐户的权限。这个文件会定义 Dashboard 应用需要的角色...
使用Go开发Kubernetes Operator:基本结构
TonyBai
08-16 2208
几年前,我还称Kubernetes为服务编排和容器调度领域的事实标准[1],如今K8s已经是这个领域的“霸主”,地位无可撼动。不过,虽然Kubernetes发展演化到今天已经变得非常复杂,但是Kubernetes最初的数据模型、应用模式与扩展方式却依然有效。并且像Operator这样的应用模式和扩展方式[2]日益受到开发者与运维者的欢迎。我们的平台内部存在有状态(stateful)的后端服务,对有...
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1409
访问kubelet接口的认证和授权
十分钟部署Kubernetes dashboard配置(k8s页面)
zhangpeng999123的博客
06-02 1945
十分钟部署Kubernetes dashboard配置(k8s页面) 一、概述 Kubernetes 简称为K8S,是用于自动部署,扩展和管理容器化应用程序的开源系统。Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 现在的云平台,基本上都是基于k8s实现的。 Kubernetes需要用到docker,应该说是Kubernetes本身就是对docker容器的管理。 Docker 是一个开源的应用容器引擎
【kubernetes/k8s概念】k8s 坑问题汇总
热门推荐
zhonglinzhang
12-26 3万+
1.Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增加新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限......
k8s集群中的rbac权限管理
08-30 723
启用RBAC,需要在 apiserver 中添加参数--authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC查看是否开启:$ cat /etc/kubernetes/manifests/kube-apiserver.yaml spec: containers: - command: - kube-apiserve...
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7130
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
k8s权限管理
u013289746的博客
07-16 1万+
                            K8s的用户和权限管理K8s的用户和权限管理包括两个方面:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。K8s的认证包含以下3种方式。这3种方式可以同时存在,认证时只按一种即可。证书认证       设置apiserver的启动参数:--client_ca_file=SOMEFIL...
【容器】K8s RBAC介绍
最新发布
weixin_44479465的博客
01-05 736
介绍RBAC(Role based access control)结合K8s的理论知识
K8S认证、授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 845
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
K8s-CKS深度解析:从框架到网络、存储
"K8s-cks必备技能攻略,涵盖了K8s框架、CNI网络、CSI存储、资源管理、应用生命周期管理、弹性伸缩、容器调度和用户认证授权体系等方面。" 在 Kubernetes (K8s) 中,理解其基本框架至关重要。K8s 框架由控制节点和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值