k8s认证及serviceAccount、userAccount

最新推荐文章于 2024-09-05 14:02:31 发布
最新推荐文章于 2024-09-05 14:02:31 发布
阅读量934 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/fawaikuangtu123/p/11295376.html
版权

1.概述

用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存.

kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中的信息,可以采用代理方式

kubectl proxy --port=8080
# HTTP request action,如get,post,put,delete,
# 这些action映射到k8s中,有:get,list,create,udate,patch,watch,proxy,redirect,delete
curl http://127.0.0.1:8080/apis/apps/v1/namespaces/kube-system/deployments

kubectl describe svc kubernetes
Name:              kubernetes
Namespace:         default
Labels:            component=apiserver
                   provider=kubernetes
Annotations:       <none>
Selector:          <none>
Type:              ClusterIP
IP:                10.96.0.1
Port:              https  443/TCP
TargetPort:        6443/TCP
Endpoints:         10.0.0.10:6443
Session Affinity:  None
Events:            <none>

10.96.0.1是kubernetes apiserver的地址,实现了通过10.96.0.1访问10.0.0.10:6443
# serviceAccount已经被替换成serviceAccountName
# apiServer验证用户和pod,它俩分别使用userAccount和serviceAccount
kubectl create  serviceaccount  mysa -o yaml --dry-run
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: mysa

# 创建其它资源时,可以参考系统标准的模板
kubectl get pods myapp-1 -o yaml --export

2.创建serviceAccount

kubectl create serviceaccount admin
kubectl get sa
NAME      SECRETS   AGE
admin     1         10s
default   1         15d
# 这个sa目前只存在于default名称空间
kubectl describe sa admin
kubectl get secret
NAME                   TYPE                                  DATA   AGE
admin-token-bqcpl      kubernetes.io/service-account-token   3      53s
default-token-g7t2x    kubernetes.io/service-account-token   3      15d

# 用配置清单把serviceaccount和pod绑定起来,这表示该pod使用自定义的验证信息admin
cat pod-sa-demo.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: pod-sa-demo
  namespace: default
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: admin 

# kubeconfig是客户端连接apiserver时使用的认证格式的配置文件
# context定义哪个集群被哪个用户访问,current-context当前是用的是哪个context
kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://10.0.0.10:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

3.创建useraccount

# 证书存放位置
cd /etc/kubernetes/pki/
# 做一个私钥,生成lixiang.key
(umask 077; openssl genrsa -out lixiang.key 2048)
# 基于私钥生成一个证书,生成lixiang.csr,CN就是用户账号名
openssl req -new -key lixiang.key -out lixiang.csr -subj "/CN=lixiang"
# 签发证书,生成lixiang.crt,-days:表示证书的过期时间,x509:生成x509格式证书 
openssl  x509 -req -in lixiang.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out lixiang.crt -days 365
# 查看证书内容
openssl x509 -in lixiang.crt -text -noout
# 把用户账户信息添加到当前集群中,embed-certs=true隐藏证书信息
kubectl config set-credentials lixiang --client-certificate=lixiang.crt --client-key=lixiang.key --embed-certs=true
# 设置该用户可以访问kubernetes集群
kubectl config set-context lixiang@kubernetes --cluster=kubernetes --user=lixiang
# 切换到lixiang用户,登录k8s,可以看到lixiang用户没有管理器权限
kubectl config use-context lixiang@kubernetes
# 切回k8s管理员
kubectl config use-context kubernetes-admin@kubernetes
# 创建一个新的k8s集群,--kubeconfig:指定集群配置文件存放位置
kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://127.0.0.1:6443" \
--certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
kubectl config view --kubeconfig=/tmp/test.conf

 

参考博客:http://blog.itpub.net/28916011/viewspace-2215100/

 

转载于:https://www.cnblogs.com/fawaikuangtu123/p/11295376.html

weixin_30275415
关注
k8sservice account
fengcai_ke的博客
07-11 3636
k8s service account分析
kubernetes10——访问控制(serviceaccountuseraccount、RBAC)
qwejiaji的博客
08-05 932
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s:UserAccountServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1178
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
Service AccountUser Account 的区别及token获取
最新发布
抛物线的博客
09-05 1070
获取跨 Namespace 的 Service Account 的 Token,可以通过配置 RBAC(基于角色的访问控制)来完成。下面是详细的步骤和解释,如何创建一个 Service Account,并绑定到具有集群权限的 ClusterRole,然后获取其 Token。来管理 Service Account 的权限,可以为其提供精细化的访问控制,从而满足不同场景下的需求。首先,我们需要创建一个 Service Account,指定它将在默认的 Namespace 中。的详细信息,确保其正确配置。
kubernetes认证serviceaccount
weixin_30580943的博客
11-13 197
Service Account 为 Pod 提供必要的身份认证。所有的 kubernetes 集群中账户分为两类,Kubernetes 管理的 serviceaccount(服务账户) 和 useraccount(用户账户)。 kubectl 如果需要访问 apiserver 需要经过 认证,授权,准入控制 三关。 kubectl 客户端请求的时候首先需要进行认证认证通过后再进行授权检查,因有...
K8S用户管理体系介绍
singless的博客
08-17 1461
k8s中,有两类用户,service accountuser,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server accountk8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。userk8s的管理人员使用的账户,也就是我们使用的账户。
大白话 k8s UserAccount ServiceAccount RBAC之间的关系
yanchendage的博客
10-28 766
账户类型 User Account(用户账户) Service Account(服务账户) User Account是为人设计的,而Service Account则是为Pod中的进程调用Kubernetes API而设计。 大白话,k8s就是一个会所,User Account就是你能不能进会所的凭证,光进会所没用,Service Account是你能不能获取服务的凭证, 你到底能获取什么服务呢?这就要将Service Account 和 rbac进行绑定了。会所有很多的角色role,大玩家,超级大玩家,顶.
K8S创建用户账号User Account并赋予权限
06-12
本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限。 一、Kubernetes中的认证与授权 在Kubernetes中,认证(Authentication)是确认用户身份的过程,而授权(Authorization)则是确定...
K8S根据serveraccount权限生成kubeconfig
u013488094的博客
03-10 846
K8S根据serveraccount权限生成kubeconfig 一、 将如下脚本拷贝到节点上: #!/bin/bash # 文件名: gen.sh set -e set -o pipefail # Add user to k8s using service account, no RBAC (must create RBAC after this script) if [[ -z "$1" ]] || [[ -z "$2" ]]; then echo "usage: $0 <service_ac
k8s创建用户(serviceaccount)没有token
weixin_65951291的博客
11-16 717
新版本的k8s需要手动生成。
k8s--基础--23.2--认证-授权-准入控制--认证
zhou920786312的博客
08-15 427
客户端对apiserver发起请求,apiserver要识别这个用户是否有请求的权限,要识别用户本身能否通过apiserver执行相应的操作,那么需要哪些信息才能识别用户信息来完成对用户的相关的访问控制呢?kubectl explain pods.spec.serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,因此整个kubernetes集群中的账号有两类1. ServiceAccount(服务账号)...
【多用户】k8s多用户配置 kubeconfig
叮当猫的喵i
09-29 1387
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
k8s系列(十三:实例)k8s认证serviceaccount、用集群ca签署私钥
xopqaaa的博客
01-15 443
认证——授权——准入 插件的形式,通过一个插件即可 认证: 1、token 2、sso 授权: 1、RBAC基于角色的访问许可控制 2、webhook 准入控制:用来定义对应认证授权之后的控制 客户端请求API server的信息组成 userusername,uid group...
k8s学习笔记-认证(Serviceaccount)
weixin_30274627的博客
05-09 647
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理, 其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiser...
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 4998
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
使用 kubectl 管理 Kubernetes 容器平台
热门推荐
高飞的博客
11-06 26万+
k8s
kubectl 常用命令总结(K8S
qq_40694671的博客
01-18 4590
kubectl version、kubectl get、kubectl label kubectl describekubectl delete、kubectl run kubectl create、kubectl exec、kubectl edit kubectl apply、kubectl logs、kubectl explain kubectl roolout、kubectl patch、kubectl set kubec scale
Kubernetes安装学习
aryoyo的博客
07-25 596
环境:Centos 7.5            Docker 1.13.1            Kubernetes 1.5.2 官网:https://kubernetes.io/ Kubernetes架构与组件: Master包含: Etcd:集群中的主数据,存储所有资源对象及其状态,etcd的数据变更都需通过apiserver进行         Apiserver:集群控制的唯一入口,...
k8s 创建user,group ServiceAccount创建
06-01
search_result_table.setHorizontalHeaderLabels(["ID", "类型", "支出", "关键字", "在 Kubernetes 中,可以使用以下步骤来创建用户、组和 ServiceAccount: 创建用户和组: 1. 通过 ssh 连日期"]) search_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值