体验K8S的x509认证及RBAC授权机制

先让我们重温两个英文单词:authentication(认证)、authorization(授权)。

今天的实验目标:
1)基于X509证书方式来完成authentication(认证)。
2)基于RBAC方式来完成authorization(授权)

环境说明:

操作步骤:

第1步:生成Private key文件:

执行:

 

查看一下生成的Private key文件:

第2步: 使用私钥生成csr请求文件:

查看csr文件:

第3步:对csr文件进行base 64编码:

 

第4步:在kubernetes中创建CSR。

把下面的代码中的XXX替换成上面的base64编码,然后执行:

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: myuser
spec:
  request: XXX
  signerName: kubernetes.io/kube-apiserver-client
  expirationSeconds: 86400  # one day
  usages:
  - client auth
EOF

 如下图:

 查看csr对象,这时为Pending状态:

第5步:对CSR进行签证(Approve)

签完后,状态变成:Approved, Issued。

查看CSR对象的详细:

第6步:把证书导出到myuser.crt文件。

 

 第7步:使用私钥文件和证书文件在k8s中创建一个用户,名为:myuser。

查看一下新创建的用户:

 第8步:创建角色(Role)对象,名称:developer。

 查看一下新创建的角色:

 可以看到,这个developer角色具有default namespace的POD的create, get, list, update, delete权限。

第9步:权限绑定

把myuser用户与developer角色绑定在一起,这样myuser就具有了developer角色的权限。

查看绑定详情:

 

第10步:验证(1)

1)验证myuser用户的读权限。

 2) 验证myuser用户的create权限

 第12步:验证(2)

删除绑定后,这个用户就没有权限了,报:forbidden。

 

 第13步:验证(3)

把用户也删除了,则报“not exist”

扩展:

创建用户后,在conifg文件中有myuser用户信息,包括:client-certificate-data和client-key-data。

其中client-certificate-data也就是上面第3步的csr经base 64位后的编码数据,也就是第4步创建CSR对象的Rqeuest 字段。

 另外,从上图可以看到,context(kubernetes-admin@kubernetes)仍只有一个。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值