先让我们重温两个英文单词:authentication(认证)、authorization(授权)。
今天的实验目标:
1)基于X509证书方式来完成authentication(认证)。
2)基于RBAC方式来完成authorization(授权)
环境说明:
操作步骤:
第1步:生成Private key文件:
执行:
查看一下生成的Private key文件:
第2步: 使用私钥生成csr请求文件:
查看csr文件:
第3步:对csr文件进行base 64编码:
第4步:在kubernetes中创建CSR。
把下面的代码中的XXX替换成上面的base64编码,然后执行:
cat <<EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1 kind: CertificateSigningRequest metadata: name: myuser spec: request: XXX signerName: kubernetes.io/kube-apiserver-client expirationSeconds: 86400 # one day usages: - client auth EOF |
如下图:
查看csr对象,这时为Pending状态:
第5步:对CSR进行签证(Approve)
签完后,状态变成:Approved, Issued。
查看CSR对象的详细:
第6步:把证书导出到myuser.crt文件。
第7步:使用私钥文件和证书文件在k8s中创建一个用户,名为:myuser。
查看一下新创建的用户:
第8步:创建角色(Role)对象,名称:developer。
查看一下新创建的角色:
可以看到,这个developer角色具有default namespace的POD的create, get, list, update, delete权限。
第9步:权限绑定
把myuser用户与developer角色绑定在一起,这样myuser就具有了developer角色的权限。
查看绑定详情:
第10步:验证(1)
1)验证myuser用户的读权限。
2) 验证myuser用户的create权限
第12步:验证(2)
删除绑定后,这个用户就没有权限了,报:forbidden。
第13步:验证(3)
把用户也删除了,则报“not exist”
扩展:
创建用户后,在conifg文件中有myuser用户信息,包括:client-certificate-data和client-key-data。
其中client-certificate-data也就是上面第3步的csr经base 64位后的编码数据,也就是第4步创建CSR对象的Rqeuest 字段。
另外,从上图可以看到,context(kubernetes-admin@kubernetes)仍只有一个。