k8s中手动创建User并认证、授权供jenkins使用

已于 2022-03-02 16:11:30 修改
阅读量2.1k 收藏 3
点赞数
分类专栏: k8s 文章标签: kubernetes jenkins
于 2020-11-10 15:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33622098/article/details/109600135
版权

1. 手动创建原因

云环境自带的,一般会自动生成identity,或者用相关命令创建,比如Google的gke,需要创建GSA和KSA,然后用KSA impersonate(模仿)GSA,生成json形式的key文件,就可以用gcloud命令授权使用了,具体可点击此处查看gke的ksa授权详情。
kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含user account的kubeconfig,k8s版本1.18,步骤如下:

1.1. 创建useraccount

此处创建的是全局性的用户账户,只是通过认证Authentication,还没有绑定集群角色。
User name为jenkins的用户向名称为kubernetes的k8s发起authentication,关于ca签名认证的原理,这里不在赘述,可参看其他文章。
执行如下脚本生成名称为jenkins.kubeconfig的kubeconfig文件:

cat kubeconfig.sh
		KUBE_APISERVER="https://10.70.128.50:6443"
		# 设置集群参数
		kubectl config set-cluster kubernetes \
		  --certificate-authority=/opt/kubernetes/ssl/ca.pem \
		  --embed-certs=true \
		  --server=${KUBE_APISERVER} \
		  --kubeconfig=jenkins.kubeconfig
		# 设置客户端认证参数
		kubectl config set-credentials jenkins \
		  --client-certificate=/opt/kubernetes/ssl/server.pem \
		  --client-key=/opt/kubernetes/ssl/server-key.pem \
		  --embed-certs=true \
		  --kubeconfig=jenkins.kubeconfig
		# 设置上下文参数
		kubectl config set-context default \
		  --cluster=kubernetes \
		  --user=jenkins \
		  --kubeconfig=jenkins.kubeconfig
		# 设置默认上下文
		kubectl config use-context default --kubeconfig=jenkins.kubeconfig

执行sh kubeconfig.sh 生成名称为jenkins.kubeconfig的kubeconfig文件

1.2. 基于RBAC(基于角色访问控制)的授权Authorization,创建以下集群角色,并绑定上面创建的user:jenkins

cat jenkins_rbac.yml
	kind: ClusterRole
	apiVersion: rbac.authorization.k8s.io/v1
	metadata:
	  name: myclusterrole
	rules:
	- apiGroups: [""]
	  resources: ["pods","services"]
	  verbs: ["get", "watch", "list", "delete", "create", "update"]
	- apiGroups: [""]
	  resources: ["secrets"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	- apiGroups: ["extensions", "apps"]
	  resources: ["deployments"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	- apiGroups: ["networking.k8s.io"]
	  resources: ["ingresses"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	---
	apiVersion: rbac.authorization.k8s.io/v1
	kind: ClusterRoleBinding
	metadata:
	  name: clusterrolebinding-myclusterrole
	roleRef:
	  apiGroup: rbac.authorization.k8s.io
	  kind: ClusterRole
	  name: myclusterrole
	subjects:
	- apiGroup: rbac.authorization.k8s.io
	  kind: User
	  name: jenkins

创建并绑定角色:kubectl apply -f jenkins_rbac.yml
集群权限如上图
注意,下面截图的User,应为jenkins
此处的User应该为Jenkins

2. Jenkins安装Config File Provider插件,将生产的kubeconfig文件粘贴到如下图中Jenkins的位置:

cat jenkins.kubeconfig

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS...
    server: https://10.70.128.50:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: jenkins
  name: default
current-context: default
kind: Config
preferences: {}
users:
- name: jenkins
  user:
    client-certificate-data: LS0tLS...
    client-key-data: LS0tLS1CRUdJT...

config filemanagement
在这里插入图片描述

3. pipeline使用

设置完成,就可以通过在pipeline中configFileProvider([configFile(fileId: "${k8s_auth}", targetLocation: "admin.kubeconfig")])来使用

风唤雀翎
关注
专栏目录
K8s+Jenkins+GitLab+Harbor+CICD+SonarQube持续集成、持续部署实战
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
05-20 1549
通过`Jenkins`新建项目,以`pipelin`的方式从`GitLab`拉取代码,通过`Maven`编译代码、`docker`构建镜像并推送到`Harbor`仓库,最后以`docker`方式用`docker`命令部署到服务器。 ### Pipeline部署到K8s 通过`Jenkins`新建项目,以`pipelin`的方式从`GitLab`拉取代码,通过`Maven`编译代码、`docker`构建镜像并推送到`Harbor`仓库,最后以`k8s`的`yaml`配置清单方式,用`kubectl`命令部
K8S认证授权与准入控制(RBAC)详解
IT8421的博客
04-18 3911
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提给有限使用者的系统上,认证授权都是两个必...
k8s创建用户账号——User Account
热门推荐
cbmljs的博客
11-07 1万+
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
k8s 集群给用户生成 kubeconfig 文件
最新发布
小新没有蜡笔
10-11 790
k8s 集群的 RBAC 里有用到用户、组的概念,但是它又不直接管理这些资源,而是通过外部身份验证机制(Authentication Mechanisms)来管理和定义的,比如证书进行签名时,将其配置为 Subject: O = system:masters, CN = kubernetes-admin。O 代表用户组,CN 是用户,这些都是通过签署证书管理的。但是新版本可以直接通过命令去创建,我用的是 1.31。
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 604
【代码】K8S创建用户账号User Account并赋予权限。
k8s 创建UserAccount
qq_32783703的博客
09-07 286
k8s 创建UserAccount。
使用jenkins流水线完成自动部署服务到K8s
weixin_37069728的博客
07-25 1万+
通过本文章,您可以轻松入门cicd过程。本地测试环境为springboot微服务项目。用户提交代码到gitlab,触发jenkins拉取gitllab上的代码,然后完成编译构建成jar包,同步完成sonarsqube代码质量检测。然后在jenkins内部完成生成镜像,并将镜像推送到harbor仓库,然后通过K8s完成服务的部署。...
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI_CD解决方案
北京少女的梦
07-04 2891
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI/CD解决方案
基于K8s构建Jenkins持续集成平台(部署流程)
m0_59430185的博客
03-17 7880
文章目录一、传统Jenkins的Master-Slave方案的缺陷二、K8s+Docker+Jenkins持续集成架构1. 架构图2. 持续集成优点三、K8S 集群部署1. 环境配置2. 安装kubelet、kubeadm、kubectl3.Master节点上进行配置4. 安装Calico5.Slave节点6. 验证部署结果四、部署配置 NFS1. 安装NFS服务2. 创建共享目录3. 启动服务4. 查看NFS共享目录五、K8S上安装Jenkins-Master1. 创建NFS client provisi
k8s实战之jenkins流水线CICD流程详解
我心如水
09-12 4514
前言 我们在日常开发,经常会有各种各样复杂的发布需求,而且经常会碰到各种环境,比如:开发环境、测试环境、生产环境。虽然可以使用手动构建、上传服务器部署的方式,如果我们有多个项目应用,每个项目应用又包含多个应用组件部署,如果用手动方式就会非常繁琐而且容易出错。使用Jenkins结合SCM可以实现代码的整个自动化构建部署过程,使我们的项目更加符合CICD标准化流程。 本文自动构建部署过程大致完...
k8s(九)—访问控制(创建serviceaccount账号、创建useraccount账号)
qq_43114229的博客
04-17 5136
1.访问控制简介 2.创建sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创建sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创建成功 default 1 5d19h [root@se
k8s创建普通用户
whz-emm的博客
10-27 1728
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
创建k8s账号与RBAC授权使用
宇博士的博客
12-16 297
4.查看权限(只授权了default名称空间pod和svc的get,list,watch权限)2.绑定用户soso(上面创建的用户),绑定用户到role-reader。3、设置上下文环境--指的是创建这个账号的环境在当前名称空间。10.查看权限 查看kube-system空间的pod。6.删除soso账号之前绑定的rolebinding。创建一个角色(role)---设置权限。--resource:给什么资源使用。8.绑定集群角色到用户soso。--verb: 相当于是权限。4、切换用户(切换上下文)
创建k8s普通用户
Dang_Ni的博客
08-04 303
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
K8S学习指南(37)-k8s权限管理对象User
俞兆鹏的博客
12-24 1182
通过本文,我们深入了解了Kubernetes权限管理对象用户的基本概念、创建方式,并通过详细的示例演示了如何手动创建用户,并为其配置访问权限。用户的主要作用是在Kubernetes集群唯一标识执行操作的实体,并通过与角色(Role)和角色绑定(RoleBinding)等进行关联,从而获取对资源的访问权限。在示例,我们将演示如何手动创建一个用户,并将其与集群的Role和RoleBinding关联,以实现对资源的访问权限。的用户,并指定了该用户的客户端证书和密钥。上述示例创建了一个名为。
k8suser account
fengcai_ke的博客
07-11 1225
k8s user account
k8s 创建普通用户使用
weixin_42562106的博客
11-09 590
【代码】k8s 创建普通用户使用
K8S集群 - 创建用户访问授权
caryeko的专栏
07-29 143
创建一个用户信息:create-account.yaml。用户信息绑定权限:rule-binding.yaml。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值