rancher创建新用户kubectl

最新推荐文章于 2023-06-16 11:16:01 发布
最新推荐文章于 2023-06-16 11:16:01 发布
阅读量1.7k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vah101/article/details/108828526
版权

rancher配置kubectl,参考https://blog.csdn.net/vah101/article/details/90789540

首先备份config

cp  ~/.kube/config  ~/.kube/config.bak

给新用户配置证书:

cd /etc/kubernetes/ssl
adm_account="kubernetes-admin"
kubectl create serviceaccount ${adm_account} -n kube-system
kubectl create clusterrolebinding ${adm_account} --clusterrole=cluster-admin --serviceaccount=kube-system:${adm_account}
kubectl -n kube-system describe secrets $(kubectl -n kube-system get secret | grep ${adm_account} | awk '{print $1}')
umask 077; openssl genrsa -out kubernetes-admin.key 2048
openssl req -new -key kubernetes-admin.key -out kubernetes-admin.csr -subj "/CN=kubernetes-admin"
openssl x509 -req -in kubernetes-admin.csr -CA ./kube-ca.pem -CAkey ./kube-ca-key.pem -CAcreateserial -out kubernetes-admin.crt -days 900
openssl x509 -in kubernetes-admin.crt -text -noout
kubectl config set-credentials kubernetes-admin --client-certificate=./kubernetes-admin.crt --client-key=./kubernetes-admin.key --embed-certs=true

编写权限配置文件role.yaml:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: kubernetes-admin
rules:
- apiGroups: [""]
  resources: ["pods","services","pods/exec","pods/log"]
  verbs: ["*"]
- apiGroups: ["extensions"]
  resources: ["deployments"]
  verbs: ["*"]
- apiGroups: ["apps"]
  resources: ["replicasets","daemonsets","statefulsets","deployments"]
  verbs: ["*"]
- apiGroups: [""]
  resources: ["events","nodes","persistentvolumeclaims"]
  verbs: ["*"]
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["list","watch"]
- apiGroups: [""]
  resources: ["serviceaccounts"]
  verbs: ["*"]
- apiGroups: [""]
  resources: ["configmaps","persistentvolumeclaims","replicationcontrollers","endpoints"]
  verbs: ["*"]
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["*"]
- apiGroups: ["batch"]
  resources: ["cronjobs","jobs"]
  verbs: ["*"]
- apiGroups: ["subresources.kubevirt.io"]
  resources: ["virtualmachineinstances/console"]
  verbs: ["*"]
- apiGroups: ["kubevirt.io"]
  resources: ["virtualmachineinstances"]
  verbs: ["*"]
- apiGroups: ["extensions"]
  resources: ["ingresses"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]  
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-admin
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: kubernetes-admin
subjects:
- kind: User
  name: kubernetes-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: crd-admin
rules:
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["*"]
- apiGroups: ["admissionregistration.k8s.io"]
  resources: ["validatingwebhookconfigurations"]
  verbs: ["*"]
- apiGroups: ["rbac.authorization.k8s.io"]
  resources: ["roles","clusterroles","rolebindings","clusterrolebindings"]
  verbs: ["*"]
- apiGroups: ["certificates.k8s.io"]
  resources: ["certificatesigningrequests","certificatesigningrequests/approval","signers"]
  verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: bind-crd-admin
subjects:
- kind: User
  name: kubernetes-admin
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: crd-admin
  apiGroup: rbac.authorization.k8s.io

使权限生效,执行

kubectl create -f role.yaml

创建用户,注意修改服务器ip为当前集群的IP地址:

cd /etc/kubernetes/ssl/
kubectl config set-cluster kubernetes-admin --certificate-authority=kube-ca.pem --server=https://192.168.0.100:6443
kubectl config set-credentials kubernetes-admin --client-certificate=./kubernetes-admin.crt --client-key=./kubernetes-admin.key
kubectl config set-context kubernetes-admin --cluster=local --user=kubernetes-admin
kubectl config use-context kubernetes-admin

最后,将/root/.kube/config改为,注意修改服务器ip为当前集群的IP地址:

apiVersion: v1
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/ssl/kube-ca.pem
    server: https://192.168.0.100:6443
  name: local
contexts:
- context:
    cluster: local
    user: kubernetes-admin
  name: kubernetes-admin@local
current-context: kubernetes-admin@local
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate: /etc/kubernetes/ssl/kubernetes-admin.crt
    client-key: /etc/kubernetes/ssl/kubernetes-admin.key

 

vah101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rancher培训视频重点摘录
12-05
而使用AD/OpenLDAP等外部认证方式时,同步的用户将默认为User角色,之后管理员可以通过登录系统来调整其角色。 #### 二、Environment - **概念解释**:Environment在Rancher中的概念指的是以系统资源(如Host)为...
dashboard:Rancher的仪表板用户界面
04-21
Rancher仪表板 Rancher Dashboard UI,又名Cluster Explorer。 有关其他Rancher UI(集群管理器)的信息,请参阅 。 为发展而奔波 这就是您可能想开始的。 # Install dependencies yarn install # For development...
Rancher1.6用户并赋予权限
leigelg的博客
05-28 483
1.选择账号设置
rancher 添加用户并分配权限
weixin_42555971的博客
07-19 1725
成员和权限
在k8s集群中添加rancher用户
m0_50641264的博客
09-25 269
在k8s集群中添加rancher用户
curl 无证书访问https_Kubernetes身份认证和授权操作全攻略:访问控制之Service Account...
weixin_39611666的博客
12-28 489
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。...
rancher部署与使用
victory0508的专栏
06-16 1227
yum -y install lrzsz vim gcc glibc openssl openssl-devel net-tools wget curl【没有安装glibc】2.检查此节点配置,发现没有配置echo "net.bridge.bridge-nf-call-iptables=1" >> /etc/sysctl.conf。sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config # 永久关闭。
jenkins+rancher+kubectl实现自动发布.pdf
02-26
jenkins自动化运维,K8S
保姆级搭建rancher教程
09-06
看着手册能自己搭建出来,保姆级教程,我自己一步一步写的,看完还不会的只能说你不适合运维,咱换行吧。你可以尝试去搞搞开发,开发写写代码就行。
rancher搭建和使用
03-14
1、rancher搭建 2、rancher自带的monitor部署 3、longhorn搭建和泗洪 2、应用部署使用,pv使用
rancher中添加用户,赋予权限
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-04 6133
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 登录rancher,先在全局添加用户 根据需要在全局/集群/项目中创建角色 添加或者编辑角色,为角色授权 将全局用户添加到集群或者项目成员中 添加时为用户绑定角色 这样就成功创建用户-绑定了角色-赋予了权限。 用户登录效果 ...
使用rancher简单构建服务,面板使用
weixin_60092693的博客
12-11 2832
一、master节点 安装kubectl离线安装 上传资料中的kubectl[root@rancher~]# chmod +x kubectl && mv kubectl /usr/local/bin/kubectl或在线安装kubectl [root@rancher~]#tee /etc/yum.repos.d/kubernetes.repo <<'EOF' [kubernetes] name=Kubernetes baseurl=https://mirrors.ali.
生产环境高可用rancher搭建步骤
weixin_34352449的博客
03-21 3663
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 871
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
kubernetes的Service Account和secret
热门推荐
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
k8s的认证和service account简述
weixin_30608131的博客
05-21 395
k8s的认证: 与API server通信的客户端大致有两类: 1.集群客户端工具(kubectl、kubeadm、kubelet等) 2.集群内pod. 任何客户端访问k8s时的过程: 1.认证:任何客户端访问k8s,首先需要通过k8s的认证;认证通过是说明所用账号只是k8s的合法用户; 2.授权:认证通过后,是否具有对k8s集群中资源的操作,需要k8s对其进行授权检查; 3.准入...
rancher 权限 添加用户_Rancher之旅(二)—— 访问控制设置
weixin_39895181的博客
01-17 1545
现在我们的 Rancher 后台是谁都能进入的,也就是没有访问控制,谁都可以管理,这样当然不靠谱,现在我们来设置下,让有帐号的人才能进入后台。Rancher 有几种访问实现方式,介绍两种大家熟悉的:一个是 “Github” 这种方式就是用你的搭建的Rancher 应用到 Github 开放登录平台申请 Client_id 和 Client Secret 来登录,相当于我们的网站用 QQ 来登录,需...
Rancher API使用总结——自动化部属
an7959的博客
04-13 1683
目的 : 根据 LDAP 中的用户,在 APP 创建一个团队。(此处的APP指的是基于java的控制中心,目的是为了管理团队和LADP中用户的关联关系) 在harbor中创建镜像仓库 在rancher创建与团队对应的两个环境(在APP中记录rancher环境相关的name,id) 环境初始化 : 使对应环境生成注册口令 “ RegistrationToken ”,...
详解K8S与Rancher 2.0内的身份认证与授权
weixin_33967071的博客
05-16 223
2019独角兽企业重金招聘Python工程师标准>>> ...
rancher的通过kubectl管理集群
最新发布
07-28
对于使用 Rancher 管理的 Kubernetes 集群,可以通过 kubectl 命令行工具进行管理。下面是通过 kubectl 连接和管理 Rancher 集群的一些步骤: 1. 登录 Rancher 控制台并选择要管理的集群。 2. 在集群概览页面中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值