体验K8S的x509认证及RBAC授权机制

最新推荐文章于 2023-08-13 02:15:59 发布
最新推荐文章于 2023-08-13 02:15:59 发布
阅读量1k 收藏 1
点赞数
分类专栏: K8S冲浪 文章标签: kubernetes 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjg138/article/details/124813674
版权

先让我们重温两个英文单词:authentication(认证)、authorization(授权)。

今天的实验目标:
1)基于X509证书方式来完成authentication(认证)。
2)基于RBAC方式来完成authorization(授权)

环境说明:

操作步骤:

第1步:生成Private key文件:

执行:

 

查看一下生成的Private key文件:

第2步: 使用私钥生成csr请求文件:

查看csr文件:

第3步:对csr文件进行base 64编码:

 

第4步:在kubernetes中创建CSR。

把下面的代码中的XXX替换成上面的base64编码,然后执行:

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: myuser
spec:
  request: XXX
  signerName: kubernetes.io/kube-apiserver-client
  expirationSeconds: 86400  # one day
  usages:
  - client auth
EOF

 如下图:

 查看csr对象,这时为Pending状态:

第5步:对CSR进行签证(Approve)

签完后,状态变成:Approved, Issued。

查看CSR对象的详细:

第6步:把证书导出到myuser.crt文件。

 

 第7步:使用私钥文件和证书文件在k8s中创建一个用户,名为:myuser。

查看一下新创建的用户:

 第8步:创建角色(Role)对象,名称:developer。

 查看一下新创建的角色:

 可以看到,这个developer角色具有default namespace的POD的create, get, list, update, delete权限。

第9步:权限绑定

把myuser用户与developer角色绑定在一起,这样myuser就具有了developer角色的权限。

查看绑定详情:

 

第10步:验证(1)

1)验证myuser用户的读权限。

 2) 验证myuser用户的create权限

 第12步:验证(2)

删除绑定后,这个用户就没有权限了,报:forbidden。

 

 第13步:验证(3)

把用户也删除了,则报“not exist”

扩展:

创建用户后,在conifg文件中有myuser用户信息,包括:client-certificate-data和client-key-data。

其中client-certificate-data也就是上面第3步的csr经base 64位后的编码数据,也就是第4步创建CSR对象的Rqeuest 字段。

 另外,从上图可以看到,context(kubernetes-admin@kubernetes)仍只有一个。

 

湾区的候鸟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 报错:x509: certificate has expired or is not yet valid
飞乐鸟的博客
04-24 237
最近整理了一份大厂面试资料《史上最全大厂面试题》,Springboot、微服务、算法、数据结构、Zookeeper、Mybatis、Dubbo、linux、Kafka、Elasticsearch、数据库等等。获取方式: 关注公众号并回复 666 领取,更多内容持续奉上。若是k8s的网址不能访问,请查看harbor是不是正常。然后重启docker、k8s。如果报错,执行下面命令。
install_k8s:一键安装kubernets(k8s)系统,采用RBAC模式运行(证书安全认证模式),既可以单台安装,也可以安装,并且完全是生产环境的安装标准。 :bsh888
02-03
初步,克隆安装程序,并进入目录: git clone cd install_k8s第二步,下载大文件二进制包(里面是x86_64下编译好的k8s二进制文件):注意:下面的包任选,但要对应到相应的安装原始版本。 v1.16.3.1版本下载地址(ls...
k8s报错x509: certificate signed by unknown authority
qq_38454637的博客
07-28 2121
[root@master harbor]# docker loginhttps://hub.bosssoft.com Username: admin Password: Error response from daemon: Gethttps://hub.bosssoft.com/v2/: x509: certificate signed by unknown authority 修改这个可以解决上面的报错 /usr/lib/systemd/system/docker.service ExecStart..
k8s连接harbor镜像库出现x509c错误
m0_37255784的博客
12-28 1360
错误截图如下: 解决方法如下: 在k8s的集群中修改如下文件: /etc/docker/daemon.json { "live-restore":true, "insecure-registries":[" xxxx.xx.xx.xx"] } 执行如下操作 systemctl restart docker && systemctl status doc...
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
一掬净土
01-03 8362
K8S异常之Unable to connect to the server: x509: certificate has expired or is not yet valid
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决【详细步骤】
marlinlm的博客
12-27 9143
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决
k8s学习第19天--证书认证
qq_34893654的博客
05-04 795
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes中常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证授权 ...
论文研究-基于XACML的RBAC授权机制 .pdf
08-16
基于XACML的RBAC授权机制,林智鑫,龙毅宏,XACML规范定义了支持RBAC的策略结构,但是并未涉及职责分离策略。本文通过分析XACML RBAC Profile并对其进行补充和修改,提出了一种支持职
K8s-ceph-csi-rbd连接资源
06-15
K8s通过rbdcsi连接ceph集群资源文件,已经修改了里面的镜像地址,补全configmap文件,可以直接下载部署
K8s-cks必备技能攻略
02-07
用户认证授权体系(RBAC)是指在K8s集群中对用户进行认证授权机制,可以根据用户的角色和权限来控制用户对K8s集群的访问权限。 CNI网络介绍: CNI(container network interface)是容器网络接口,它是一种...
kubernetes环境证书x509问题解决
认知 行动 坚持
02-19 1576
故障描述: 集群部署服务一直报x509错误,导致pod起不来 解决步骤: 1.首先先排查证书,检查所有的证书是否有问题 使用md5sum 比对证书的md5值看是否都一致。最后结果是证书都是一致的,都没问题。 2.查看集群的endpoints,使用kubectl get ep 命令,查出来集群有问题,我们一共是3个master,但是查出来2个。查出来的这2个还有问题,可能是之前同事把master换了别的主机以后没有修改ep。导致现在查出来ep的值多了一个.5的主机,少了61和63主机的ip。 3.修改ep的
K8S 集群中的认证授权与kubeconfig
weixin_38320674的博客
04-07 6973
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
二十三、K8s集群强化1-认证
tushanpeipei的博客
12-12 4628
通过K8s认证保证集群的安全性
k8s证书文件解释
weixin_42595747的博客
06-27 690
k8s部署之使用CFSSL创建证书 wangzhkai 2018-05-12 12:07:10 6983 收藏 2 分类专栏: k8s 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certi
【CKA考试笔记】十五、安全管理:验证与授权
热门推荐
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
k8s使用外部ca证书
qyq88888的专栏
02-24 1497
k8s 使用 ca证书参考
二进制搭建kubernetes多master集群【四、配置k8s node】
weixin_30696427的博客
12-20 766
上一篇我们部署了kubernetes的master集群,参考:二进制搭建kubernetes多master集群【三、配置k8s master及高可用】 本文在以下主机上操作部署k8s node k8s-node1:192.168.80.10 k8s-node2:192.168.80.11 k8s-node3:192.168.80.12 以下kubeadm和kubectl命令操作都是在k8...
k8s node 误删除了如何自动创建 csr重新加入集群
最新发布
爱死亡机器人
08-13 707
worker node 节点当部署晚 kubelet、kube-proxy就会加入集群,如何加入呢,集群收到新的 csr。
K8s如何实现授权认证
05-23
以下是 K8s 的认证授权机制: 1. 基于令牌的认证:K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码向 K8s 集群请求令牌,该令牌可用于后续请求的身份验证。 2. 基于证书的认证:K8s 还支持使用证书进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值