k8s之基于用户/用户组授权

最新推荐文章于 2024-04-19 01:24:38 发布
最新推荐文章于 2024-04-19 01:24:38 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes docker 运维 linux k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41586875/article/details/124638110
版权

实验环境

主机权限
k8s-master-1admin
k8s-node-1

签发用户证书

  • 创建kubectl证书请求文件,必须要由和apiserver证书相同机构来颁发这个证书,否则apiserver使用它的CA公钥无法认证这个证书
  • 如果提供了客户端证书并且证书被验证通过,则 subject 中的公共名称(Common Name)就被 作为请求的用户名
  • Kubernetes 1.4 开始,客户端证书还可以通过证书的 organization 字段标明用户的组成员信息。 要包含用户的多个组成员信息,可以在证书种包含多个 organization 字段:openssl req -new -key jbeda.pem -out jbeda-csr.pem -subj "/CN=jbeda/O=app1/O=app2"

创建证书请求文件

cfssl csr格式参考链接https://github.com/cloudflare/cfssl/wiki/Creating-a-new-CSR

  • "CN":Common Name,设置用户名为user1

  • "C": country

  • "ST": the state or province

  • "L": locality or municipality (such as city or town name)

  • "O": organisation,设置属于二个组,group1,group2

  • "OU": organisational unit, such as the department responsible for owning the key; it can also be used for a “Doing Business As” (DBS) name

[root@k8s-master-1 different]# cat > kubectl-csr.json <<EOF
{
  "CN": "user1",
  "hosts": [],					# 这里设置host也不生效,无法限制,原因未知
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "hunan",
      "L": "changsha",
      "O": "group1",
      "OU": "system"
    }
  ]
}
EOF

颁发证书

  • -ca:签发apiserver证书的CA证书
  • -ca-key:私钥
  • -config:CA配置
# 生成证书
	cfssl gencert -ca=/root/cluster/pki/kube-apiserver-ca.pem -ca-key=/root/cluster/pki/kube-apiserver-ca-key.pem -config=/root/cluster/pki/ca-config.json -profile=kubernetes kubectl-csr.json | cfssljson -bare kubectl
	

# 或者使用openssl方式
	openssl genrsa -out kubectl-key 2048
	openssl req -new -key kubectl-key -out kubectl.csr -subj "/CN=user1/O=group1/O=group2"
	openssl x509 -req -CA /root/cluster/pki/kube-apiserver-ca.pem -CAkey /root/cluster/pki/kube-apiserver-ca-key.pem -CAcreateserial -days 730 -in kubectl.csr -out kubectl.crt

# 查看生成的证书
[root@k8s-master-1 different]# ls
kubectl.csr  kubectl-csr.json  kubectl-key.pem  kubectl.pem

# 设置集群参数
	kubectl config set-cluster kubernetes --certificate-authority=/root/cluster/pki/kube-apiserver-ca.pem --embed-certs=true --server=https://192.168.0.10:6443 --kubeconfig=kube.config
	
# 设置客户端认证参数,生成了一个kubectl的user,里面包含了证书
	kubectl config set-credentials kubectl --client-certificate=kubectl.pem --client-key=kubectl-key.pem --embed-certs=true --kubeconfig=kube.config

# 设置上下文参数,--user,使用上面的kubectl,这里仅仅是标识区分作用,实际不会以这个用户去向apiserver通信
	kubectl config set-context kubernetes --cluster=kubernetes --user=kubectl --kubeconfig=kube.config

# 设置默认上下文
	kubectl config use-context kubernetes --kubeconfig=kube.config

# 将kube.config传到k8s-node-1
[root@k8s-master-1 different]# ssh root@k8s-node-1 "mkdir -p /root/.kube/" && scp kube.config root@k8s-node-1:/root/.kube/config

# k8s-node-1 执行命令,因为此时未授权故而没法正常
[root@k8s-node-1 .kube]# kubectl get pods -A
Error from server (Forbidden): pods is forbidden: User "user1" cannot list resource "pods" in API group "" at the cluster scope

基于用户和组颁发权限

cluster-admin 是通过system:masters组方式进行授权,如果我们在创建用户证书时,/CN=XX/O=system:masters,那么这个用户就拥有超级管理员的权限

基于用户授权

# 基于用户方式授权,cluster-admin 这个clusterrole权限很大,可以操作集群内所有资源,也可以使用自定义的clusterole
[root@k8s-master-1 different]# kubectl create clusterrolebinding kubectl-test --clusterrole=cluster-admin --user=user1
clusterrolebinding.rbac.authorization.k8s.io/kubectl-test created

# 授权完成后,看是否可以执行相关命令
[root@k8s-node-1 .kube]# kubectl get nodes
NAME           STATUS   ROLES    AGE     VERSION
k8s-master-1   Ready    master   5d19h   v1.20.15
k8s-node-1     Ready    node     5d19h   v1.20.15

# 删除授权
[root@k8s-master-1 different]# kubectl delete clusterrolebinding kubectl-test
clusterrolebinding.rbac.authorization.k8s.io "kubectl-test" deleted

基于用户组授权

# 基于用户组授权
[root@k8s-master-1 different]# kubectl create clusterrolebinding kubectl-test --clusterrole=cluster-admin --group=group1
clusterrolebinding.rbac.authorization.k8s.io/kubectl-test created

# 授权后,查看是否可以执行相关命令
[root@k8s-node-1 .kube]# kubectl get nodes
NAME           STATUS   ROLES    AGE     VERSION
k8s-master-1   Ready    master   5d19h   v1.20.15
k8s-node-1     Ready    node     5d19h   v1.20.15

# 删除授权
[root@k8s-master-1 different]# kubectl delete clusterrolebinding kubectl-test
clusterrolebinding.rbac.authorization.k8s.io "kubectl-test" deleted
旺仔_牛奶
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8s --k8s访问控制
ly660402的博客
02-27 392
API Server 是K8s重要的管理API 层。它负责提供restful api访问端点, 并且将数据持久化到etcd server中。Kubernetes 集群中,API Server 扮演着交互入口的位置。API Server 不仅负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),并切对外提供统一的API调用入口, 所有的交互都是以 API Server 为核心的。 kubernetes API 访问控制 Authentication(认证) 认证.
云计算虚拟化:k8s认证流程&用户&用户组&权限相关
dustzhu的博客
09-28 1639
一. 前言 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户/用户;前者由Kubernetes进行管理主要用于pod;后者由外部应用进行管理,主要是人 在安全方面,Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等, Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server
Kubernetes的Group、Version、Resource学习小记
最新发布
2401_84413599的博客
04-19 639
kubernetes环境被实例化的资源即资源对象(ResourceObject);资源被分为持久性(Persistent Entity)和非持久性(Ephemeral Entity),持久性如deployment,创建后会在etcd保存,非持久性如pod;kubernetes为资源准备了8种操作:create、delete、deletecollection、get、list、patch、update、watch,每一种资源都支持其中的一部分,这在每个资源的API文档中可以看到;
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 947
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
K8S学习指南(38)-k8s权限管理对象 Group
俞兆鹏的博客
12-25 1800
通过本文,我们深入了解了Kubernetes中权限管理对象Group的基本概念、创建方式,并通过详细的示例演示了如何手动创建Group,并为其配置访问权限。在KubernetesK8s)中,Group(用户组)是一种重要的权限管理对象,用于对一组用户进行集中管理,并在Role(角色)和RoleBinding(角色绑定)等授权机制中进行关联。在示例中,我们将演示如何手动创建一个Group,并将其与集群中的Role和RoleBinding关联,以实现对资源的访问权限。上述示例中,通过用户创建了一个名为。
如何创建一个用户授权操作k8s集群的过程?
Free雅轩的博客
06-24 1074
本篇带给大家如何创建一个用户授权操作k8s集群的过程。希望对你有所帮助! 背景 172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。 创建访问architechure命名空间的用户 1.给用户devops 创建一个私钥 opensslgenrsa-outdevops.key2048 2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组) opens...
K8s-cks必备技能攻略
02-07
用户认证及授权体系(RBAC)是指在K8s集群中对用户进行认证和授权的机制,可以根据用户的角色和权限来控制用户K8s集群的访问权限。 CNI网络介绍: CNI(container network interface)是容器网络接口,它是一种...
面试题目_k8s_
10-01
Kubernetes(简称k8s)是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在面试中,对于k8s的理解和掌握程度往往成为衡量候选人技术实力的重要标准。以下是一些关于k8s的核心知识点,以及...
容器集群k8s从入门到精通.pdf
01-30
Kubernetes,又被称为k8s,是Google开源的一款强大的容器编排工具,旨在自动化容器化应用程序的部署、扩展和管理。Kubernetes的出现是基于应用程序部署方式的演变,从早期的直接部署在物理机上,到虚拟化部署,再到...
k8s-cka-tutorial:认证总督管理员(CKA)教程
05-04
关键字:AWS身份验证,基于角色的访问控制,授权规则,ClusterRole,RoleBinding,ClusterRoleBinding 关键字:ConfigMap,角色 关键字:元数据,标签,注释,规范,状态,命令式命令,命令式对象配置,声明式对象...
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1711
1、K8s安全框架和基本概念。 2、RBAC用户授权用户组授权、sa程序授权
Linux企业实战之容器(二十一)——Kubernetes(10)
bdkl9998的博客
07-11 192
kubernetes访问控制
关于 K8S API Resources: Group 和 Version 该怎么写
runzhliu大数据/容器日记
08-25 4566
文章目录OverviewAPI ResourcesAPI VersionsSummary 原来地址: https://akomljen.com/kubernetes-api-resources-which-group-and-version-to-use/ Overview Kubernetes 使用声明式 API 来使得系统更加的健壮。但是这也意味着如果我们要创建一个对象,我们可以通过 CL...
user和group
weixin_38076419的博客
04-06 345
#######################UNIT5 1.用户      1)用户就是系统使用者      2)用户在系统存储为若干字符串+若干配置文件      3)用户涉及的系统配置文件为:  *)/etc/passwd ##用户具体信息  用户:密码:uid:gid:说明:家目录:用户使用shell 在命令行输入 vim /etc/passwd;截取部分  如下图:    *)/et...
K8S用户管理体系介绍
singless的博客
08-17 1271
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户。
K8s--访问控制
小螺号的博客
03-23 327
文章目录一、访问控制的几种方式二、UserAccount1.创建UserAccount2.RBACRoleBindingClusterRoleBinding三、服务账户的自动化 一、访问控制的几种方式 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Ser
Kubernetes 核心数据结构GVR - Group
zkfopen的博客
11-13 413
Kubernetes 将资源进行分组和版本化,形成了 Group(资源组)、Version(资源版本)、Resource(资源)。以下简称为 GVR。 Group:资源组,在 Kubernetes API Server 中也称其为 APIGroup。
k8s 创建用户用户组
09-20
Kubernetes中,创建用户用户组是通过创建Role和RoleBinding***(Organization)是该用户归属的组。然后,你可以使用kubectl命令创建RoleBinding来将角色绑定到用户。 下面是一个示例命令来生成PKI私钥和CSR,并创建RoleBinding: 1. 生成私钥和CSR: ``` openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" ``` 2. 创建CertificateSigningRequest: ``` kubectl create certificate signing request myuser-csr --signer=myuser.key --key=myuser.csr ``` 3. 创建RoleBinding: ``` kubectl create rolebinding developer-binding-myuser --role=developer --user=myuser ``` 以上步骤将创建一个名为developer-binding-myuser的RoleBinding,将developer角色绑定到用户名为myuser的用户上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值