K8S-用户认证

最新推荐文章于 2022-05-23 11:06:51 发布
最新推荐文章于 2022-05-23 11:06:51 发布
阅读量1.3k 收藏
点赞数
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45335806/article/details/109366045
版权

普通用户

https://kubernetes.io/zh/docs/reference/access-authn-authz/certificate-signing-requests/
为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签名的证书, 然后将该证书作为 API 调用的证书头或通过 kubectl 提供出来。

创建私钥

下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 字段很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 获取标准组的信息。

openssl genrsa -out john.key 2048
openssl req -new -key john.key -out john.csr

创建申请证书的 Kubernetes 对象

创建一个 CertificateSigningRequest,并通过 kubectl 将其提交到 Kubernetes 集群。 下面是生成 CertificateSigningRequest 的脚本。

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: duoduo
spec:
  groups:
  - system:authenticated
  request: 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
  
  usages:
  - client auth
EOF

需要注意的几点:

usage 字段必须是 ‘client auth’ request 字段是 CSR 文件内容的 base64 编码值。要得到该值,可以执行命令 cat john.csr | base64 | tr -d “\n” 。

批准证书请求

使用 kubectl 创建 CSR 并批准。

kubectl get csr

获取 CSR 列表

kubectl certificate approve john

取得证书
批准 CRS

kubectl get csr/john -o yaml

证书的内容使用 base64 编码,存放在字段 status.certificate。

创建角色和角色绑定

你已经拿到证书了。为了让这个用户能访问 Kubernetes 集群资源,现在就要创建 Role 和 Role Binding 了。

这是为这个新用户创建角色的示例脚本

kubectl create role developer --verb=create --verb=get --verb=list --verb=update --verb=delete --resource=pods

这是为这个新用户创建角色绑定的示例脚本

kubectl create rolebinding developer-binding-john --role=developer --user=john

添加到 KubeConfig

最后一步是将这个用户添加到 KubeConfig。 我们假设私钥和证书文件存放在 “/home/vagrant/work/” 目录中。

首先,我们需要添加新的凭据

kubectl config set-credentials john --client-key=/home/vagrant/work/john.key --client-certificate=/home/vagrant/work/john.crt --embed-certs=true

然后,我们需要添加上下文

kubectl config set-context john --cluster=kubernetes --user=john

来测试一下,把 kubecontext 切换为 john

kubectl config use-context john
宇智波丶木木
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-cka-tutorial:认证总督管理员(CKA)教程
05-04
Kubernetes认证管理员(CKA)教程 附录:在下面的视频部分之后,我总结了一些有用的测试准备步骤。 影片 关键字:群集,节点,控制平面,etcd,群集拓扑 关键字:API组,API资源,命名空间,插件,Metrics服务器 关键字:kubeadm,kube-api-server,kube-controller-manager,kube-scheduler,cloud-controller-manager,kublet,kube-proxy,etcd 关键字:身份验证,授权,管理控制,传输安全,用户,客户端证书身份验证 关键字:AWS身份验证,基于角色的访问控制,授权规则,ClusterRole,RoleBinding,ClusterRoleBinding 关键字:ConfigMap,角色 关键字:元数据,标签,注释,规范,状态,命令式命令,命令式对象配置,声明式对象配置 关键
2020-12-27
热门推荐
guangzhihai的博客
12-27 13万+
密文:Y3J5cHRvIGlzIHZlcnkgaW50ZXJlc3Rpbmc= 请包上flag{}提交 首先看密文 看到了最后有‘=’号 所以用base64解码 所以,按格式输出flag{crypto is very interesting}完成
k8s-intro-training
05-04
培训指南 Kubernetes选项 Rancher为您提供了运行Kubernetes的几种选择。 您可以使用这些或任何其他经CNCF认证的Kubernetes发行版。 -轻型Kubernetes,无论在数据中心和资源受限的环境,如物联网和边缘作品。 -Kuberntets的完整安装,可在Docker容器中运行。 下一代RKE,使用ContainerD和FIPS兼容。 在Docker中运行多节点Kubernetes集群专为本地开发运营而设计。 部署K3 本地部署 为此,您需要登录Linux系统。 curl -sfL https://get.k3s.io | sh - 通过SSH进行远程部署 为此,您需要可通过SSH进入Linux系统。 我们将使用k3sup可以从命令 。 默认值假定您使用~/.ssh/id_rsa作为密钥并以root用户身份进行连接。 如果需要更改这些默认值或其
CertificateSigningRequest.certSigningRequest
08-24
为了appstore上架安排的技术网站,希望您能喜欢,做最好的我们!
k8s集群安装
leo19861231的博客
12-27 270
设置主机名 hostnamectl set-hostname master hostnamectl set-hostname node01 修改hosts文件 vim /etc/hosts 192.168.1.91 master 192.168.1.92 node01 关闭防火墙 systemctl stop firewalld systemctl disable firewalld 禁用SELI...
Kubernetes 用户认证-证书签名请求
qq_37377136的博客
08-15 808
官方证书签名请求 一、创建私钥 普通用户 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签发的证书, 然后将该证书作为 API 调用的 Certificate 头或通过 kubectl 提供。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 了解标准组的信息。 openssl genrsa -out myuser.key 20
【Python3】RSA公钥解密
Test20201990的博客
02-10 9万+
使用python进行公钥加密私钥解密,网上方法很多,这里就不再介绍了。 因公司项目测试需要,要使用rsa公钥加密后的数据请求服务器,服务器使用私钥解密,并将响应使用私钥加密后返回,再使用公钥进行解密,对响应结果进行校验。** 以下为核心代码 根据这位大佬的方法增加了128位的分段,以便用于超长数据的解密 https://blog.csdn.net/weixin_33910434/article/details/88672911 import rsa import base64 class Decr.
CTF-你没有见过的加密 WP
05-29 9590
你没有见过的加密!分值:10 来源:AlphaBaby 难度:易 参与人数:4888人 Get Flag:818人 答题人数:942人 解题通过率:87% MDEzMjE5MDAyMTg0MTUzMjQwMTQ0MDc3MjUzMDk2MTc1MTUzMTE4MTg4MDEwMDA2MTg4MDA0MjM4MDI1MTA3MTU4MTc5MTM4 请喜欢linux的你,自己动手写出解...
Mac xmind 8完美破解教程
啊嘞嘞的博客
07-04 9971
链接:https://pan.baidu.com/s/1tTKYuqCjGo_WC2ns6tN54w &nbsp;密码:1b1w &nbsp; 小伙伴们XMind&nbsp;8 pro Mac破解版(思维导图) 最新版本v3.7.8中文破解版上线了,本次的XMind 8 Mac破解版进入一个全新的阶段,更新鲜...
Centos 安装 mysql5.7 示例教程
we
05-23 6万+
创建mysql 用户组和用户 groupadd mysql useradd -r -g mysql mysql 从官网下载 MySQL wget https://cdn.mysql.com/archives/mysql-5.7/mysql-5.7.36-linux-glibc2.12-x86_64.tar.gz 解压 tar -zxvf mysql-5.7.36-linux-glibc2.12-x86_64.tar.gz 将解压的文件重命名,并移动到/usr/local目录 mv mysql-
scaffold-k8s
03-20
支架-k8s 编写目的 帮助公司新来的小伙伴快速上手 项目介绍 scaffold-common:公共工程,抽象和实现分类工具,技术要点:自定义异常和错误码,统一返回状态码规则,变量异常处理; 脚手架服务器安全性:认证授权,...
k8s架构浅析
02-24
Kubernetes是一个面向应用的容器集群部署、管理及编排系统,旨在为最终用户屏蔽物理/虚拟计算、网络、存储基础设施的复杂度,...Cluster:是一个被k8s协调的高可用集群,作为k8s集群的根操作对象,将多台计算节点(Mast
kubernetes的用户权限认证体系
01-20
而此处,我们来了解k8s认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,系统根据用户所有的权限,让我们进行有限的操作。 但像这种应用,没有登陆界面,我们是怎么来实现。 ...
创建ingress报错
qq_45335806的博客
05-08 1024
创建ingress报错 Error from server (InternalError): error when creating “nginx-ingress.yaml”: Internal error occurred: failed calling webhook “validate.nginx.ingress.kubernetes.io”: Post “https://ingress-nginx-controller-admission.ingress-nginx.svc:443/networki
k8s configMap工作原理
qq_45335806的博客
10-28 772
给容器内应用程序传递参数的实现方式:   1. 将配置文件直接打包到镜像中,但这种方式不推荐使用,因为修改配置不够灵活。   2. 通过定义Pod清单时,指定自定义命令行参数,即设定 args:[“命令参数”],这种也可在启动Pod时,传参来修改Pod的应用程序的配置文件.   3. 使用环境变量来给Pod中应用传参修改配置    但要使用此种方式,必须符合以下前提之一:    1) Pod中的应用程序必须是Cloud Native的应用程序,即支持直接通过环境变量来加载配置信息。    2
Ingress
qq_45335806的博客
07-20 553
一.Ingress 是什么? Ingress 公开了从集群外部到集群内 services 的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 ** ** 可以将 Ingress 配置为提供服务外部可访问的 URL、负载均衡流量、终止 SSL / TLS,以及提供基于名称的虚拟主机。Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。 Ingress 不会公开任意端口或协议。 将 HTTP 和 HTTP
Pod Priority Preemption:Pod优先级调度
qq_45335806的博客
07-27 492
引入 对于运行各种负载(如Service、Job)的中等规模或者大规模的集 群来说,出于各种原因,我们需要尽可能提高集群的资源利用率。而提 高资源利用率的常规做法是采用优先级方案,即不同类型的负载对应不同的优先级,同时允许集群中的所有负载所需的资源总量超过集群可提供的资源,在这种情况下,当发生资源不足的情况时,系统可以选择释 放一些不重要的负载(优先级最低的),保障最重要的负载能够获取足够的资源稳定运行 优先级抢占调度策略的核心行为分别是 驱逐 (Eviction):kubelet进程的行为 抢占 (P
DaemonSet:在每个Node上都调度一个Pod
qq_45335806的博客
07-28 437
https://kubernetes.io/zh/docs/concepts/workloads/controllers/daemonset/ 概念: DaemonSet:用于管理在 集群中每个Node上仅运行一份Pod的副本实例 如图所示 这种适合有多种需求的应用 ◎ 在每个Node上都运行一个GlusterFS存储或者Ceph存储的 Daemon进程 ◎ 在每个Node上都运行一个日志采集程序,例如Fluentd或者 Logstach ◎ 在每个Node上都运行一个性能监控程序,采集该Node的运行
k8s启用 API server 认证
最新发布
05-17
在 Kubernetes 中,API Server 是集群中的控制中心,所有的 Kubernetes API 调用都通过 API Server 进行。API Server 认证是 Kubernetes 中非常重要的一环,它确保了只有经过身份验证的用户才能够访问 Kubernetes API,并限制了用户能够访问的资源和操作。 Kubernetes 支持多种认证方式,例如 X.509 证书、Token、基于 HTTP Header 的认证等。下面我们以 X.509 证书认证为例,介绍如何启用 API Server 认证: 1. 生成证书和私钥 首先,需要使用 OpenSSL 工具生成证书和私钥。可以使用以下命令生成一个自签名的证书和私钥: ``` openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout tls.key -out tls.crt -subj "/CN=kube-apiserver" ``` 该命令生成一个有效期为 365 天的自签名证书和私钥,可以使用 -subj 参数指定证书的主题(这里指定为 kube-apiserver)。 2. 配置 API Server 启用 API Server 认证需要在 kube-apiserver 的启动参数中添加以下配置项: ``` --tls-cert-file=<path/to/tls.crt> --tls-private-key-file=<path/to/tls.key> --client-ca-file=<path/to/ca.crt> --authentication-mode=x509 ``` 其中,--tls-cert-file 和 --tls-private-key-file 分别指定 TLS 证书和私钥的路径,--client-ca-file 指定用于验证客户端证书的 CA 证书的路径,--authentication-mode 设置认证方式为 x509。 3. 配置 kubectl 为了使用证书进行认证,需要在 kubectl 的配置文件中添加以下配置项: ``` apiVersion: v1 kind: Config clusters: - name: my-cluster cluster: certificate-authority: /path/to/ca.crt users: - name: my-user user: client-certificate: /path/to/tls.crt client-key: /path/to/tls.key contexts: - name: my-context context: cluster: my-cluster user: my-user current-context: my-context ``` 其中,certificate-authority 指定用于验证服务器证书的 CA 证书的路径,client-certificate 和 client-key 分别指定客户端证书和私钥的路径。 4. 测试认证 完成上述步骤后,可以使用 kubectl 命令测试认证是否生效。例如,使用以下命令查看所有的 Pod: ``` kubectl get pods ``` 如果认证配置正确,则应该能够成功列出 Pod。如果认证失败,则会提示需要提供证书和私钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值