k8s安全,授权其他用户管理一个namespace

最新推荐文章于 2023-07-15 19:41:26 发布
最新推荐文章于 2023-07-15 19:41:26 发布
阅读量349 收藏
点赞数
文章标签: 安全 linux 运维 云计算 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40862772/article/details/125179599
版权

创建一个用户只能管理 dev 空间

vim /etc/kubernetes/pki/devuser-csr.json

{

  "CN": "devuser",

  "hosts": [],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "ST": "BeiJing",

      "L": "BeiJing",

      "O": "k8s",

      "OU": "System"

    }

  ]

}

创建一个json

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

mv cfssl_linux-amd64 /usr/local/bin/cfssl

下载证书生成工具

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

cfssl gencert -ca=ca.crt -ca-key=ca.key  -profile=kubernetes /etc/kubernetes/pki/devuser-csr.json | cfssljson -bare devuser

export KUBE_APISERVER="https://10.0.0.101:6443"

配置环境变量改成自己的IP

vim /etc/profile

export KUBE_APISERVER="https://10.0.0.101:6443"

kubectl config set-cluster kubernetes \

--certificate-authority=/etc/kubernetes/ssl/ca.crt \

--embed-certs=true \

--server=${KUBE_APISERVER} \

--kubeconfig=devuser.kubeconfig

# 设置集群参数

kubectl config set-credentials devuser \

--client-certificate=/etc/kubernetes/pki/devuser.pem \

--client-key=/etc/kubernetes/pki/devuser-key.pem \

--embed-certs=true \

--kubeconfig=devuser.kubeconfig

# 设置客户端认证参数

kubectl config set-context kubernetes \

--cluster=kubernetes \

--user=devuser \

--namespace=dev \

--kubeconfig=devuser.kubeconfig

# 设置上下文参数

kubectl config use-context kubernetes --kubeconfig=devuser.kubeconfig

# 设置默认上下文

kubectl create namespace dev

useradd ly01

passwd ly01

mkdir /home/ly01/.kube

mv devuser.kubeconfig /home/ly01/.kube/config

chown -R ly01.ly01 /home/ly01/.kube/

#创建用户名,并把devuser.kubeconfig文件放到用户家目录并更改属主和文件名称

kubectl get rolebinding -n dev

查看是否生成rolebinding资源

梦定沉往
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s rbac namespace权限设置
小学徒
05-24 1179
K8S master节点上创建Role和RoleBinding的yaml文件 #vi role-username.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list","...
k8s入门介绍,k8s多master多noede安装部署教程
07-28
提供k8s api,是整个系统的对外接口,提供资源操作的唯一入口,供客户端和其它组件调用,提供了k8s各类资源对象(pod,deployment,Service等)的增删改查,是整个系统的数据总线和数据中心,并提供认证、授权、访问...
K8s之权限管理
a13568hki的博客
04-29 4226
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
k8s权限管理
叶青
01-15 1192
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看。
K8S集群创建用户并赋权访问特定namespace
我的博客
06-01 3674
文章目录环境集群搭建创建HDFS集群目的创建用户赋权切换用户验证 环境 软件 版本 centos 7.4-1708 docker 18.03.0-ce kubernetes 1.17.0 集群搭建 https://blog.csdn.net/zz_aiytag/article/details/103816076 创建HDFS集群 https://blog.csdn.net/zz_aiytag/article/details/106398381 在这篇文章里,我创建了一个myns1
k8s 分给某个用户只有指定命名空间权限
风.foxwho(神秘狐)
06-10 1498
给用户,只有 命名空间权限用户名为: 保存为 执行命令 查看是否创建成功 输出 在 test 命名空间创建 role 创建角色: 保存为 执行命令 查看是否创建成功 输出 在 test 命名空间创建 人员角色关系 rolebinding 保存为 执行命令 查看是否创建成功 输出......
K8S及镜像容器安全架构设计
10-17
该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 Kubernetes 安全架构设计中,认证和授权是非常重要的一部分。认证是指验证用户或服务的身份,以确保只有...
CKA认证-k8s基本操作.rar
07-23
1. **Pods控制器**(6.Pods控制器.docx):Pod是Kubernetes中最小的可部署单元,它包含一个或多个紧密相关的容器。Pod控制器,如ReplicaSet、Deployment或StatefulSet,用于确保Pod的数量和状态始终保持一致。...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
K8S CKS 1.24 EXAM 练习备考必备 Kubernetes Security Specialist certification is a highly respected certification in the field of container orchestration and cloud computing. This certification aims to...
面试题目_k8s_
10-01
Kubernetes(简称k8s)是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在面试中,对于k8s的理解和掌握程度往往成为衡量候选人技术实力的重要标准。以下是一些关于k8s的核心知识点,以及...
k8s安全管理:认证、授权、准入控制概述
weixin_51697758的博客
08-16 769
User Accounts(用户账户)和Service Accounts(服务账户)两种:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,,kubeadm安装的k8s,默认用户账号是kubernetes-admin;APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config这里面保存了客户端访问API Server的密钥相关信息。...
k8s namespace
qq_39122387的博客
12-05 290
k8snamespace 的简单介绍,以及操作 namespace 常用命令。 如果不指定命名空间,kubectl 将在当前上下文中配置的命名空间中执行操作(可以使用 kubectl config 命令更改)。如果不写namespace,一般默认是在 defaul
给普通用户自定义创建 Kubernetes 权限
愿许浪尽天涯的博客
06-12 1977
需求: 由于开发同事需要在 K8s 集群内查看 Pod 的应用日志,为了防止开发同事在集群内误操作,我们这里通过配置 UserAccount 的方式将开发同事的账号权限降低;以此来提升集群的安全性。
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 7053
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
Kubernetes运维篇】RBAC之创建集群用户管理K8S
秦子腾
07-15 6270
用户加入集群用户中,用来认证apiserver的连接。用户加入集群用户中,用来认证apiserver的连接。系统用户提交给新来的运维同事等,让新来的同事只有在。的权限,因为是查看所有命名空间Pod,所以这里使用。第九步:切换lisi用户测试权限。可以切换后,先切换回来管理用户。第九步:在Linux中添加一个。可以切换后,先切换回来管理用户。第十步:在Linux中添加一个。第二步:生成一个证书请求。第二步:生成一个证书请求。用户,默认没有任何权限。用户,默认没有任何权限。用户,测试是否有权限。
K8S学习笔记-003】权限管理RBAC
DeusExMachina_V的博客
08-05 1090
Role RoleBinding ClusterRole ClusterRoleBinding ServiceAccount
kubectl-k8s用户切换
qq522044637的博客
03-08 1043
k8s用户切换
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3101
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限。
k8s认证和授权
梵修
10-15 2665
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
k8snamespace互相通信
最新发布
07-28
Kubernetes (k8s) 中,不同 Namespace 之间的 Pod 默认是无法直接进行通信的。然而,有几种方法可以实现跨 Namespace 的互相通信: 1. 使用完全限定的服务名称:可以通过在服务名称中指定 Namespace 来实现跨 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值