k8s认证及serviceAccount、userAccount

最新推荐文章于 2024-04-15 08:21:04 发布
最新推荐文章于 2024-04-15 08:21:04 发布
阅读量927 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/fawaikuangtu123/p/11295376.html
版权

1.概述

用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存.

kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中的信息,可以采用代理方式

kubectl proxy --port=8080
# HTTP request action,如get,post,put,delete,
# 这些action映射到k8s中,有:get,list,create,udate,patch,watch,proxy,redirect,delete
curl http://127.0.0.1:8080/apis/apps/v1/namespaces/kube-system/deployments

kubectl describe svc kubernetes
Name:              kubernetes
Namespace:         default
Labels:            component=apiserver
                   provider=kubernetes
Annotations:       <none>
Selector:          <none>
Type:              ClusterIP
IP:                10.96.0.1
Port:              https  443/TCP
TargetPort:        6443/TCP
Endpoints:         10.0.0.10:6443
Session Affinity:  None
Events:            <none>

10.96.0.1是kubernetes apiserver的地址,实现了通过10.96.0.1访问10.0.0.10:6443
# serviceAccount已经被替换成serviceAccountName
# apiServer验证用户和pod,它俩分别使用userAccount和serviceAccount
kubectl create  serviceaccount  mysa -o yaml --dry-run
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: mysa

# 创建其它资源时,可以参考系统标准的模板
kubectl get pods myapp-1 -o yaml --export

2.创建serviceAccount

kubectl create serviceaccount admin
kubectl get sa
NAME      SECRETS   AGE
admin     1         10s
default   1         15d
# 这个sa目前只存在于default名称空间
kubectl describe sa admin
kubectl get secret
NAME                   TYPE                                  DATA   AGE
admin-token-bqcpl      kubernetes.io/service-account-token   3      53s
default-token-g7t2x    kubernetes.io/service-account-token   3      15d

# 用配置清单把serviceaccount和pod绑定起来,这表示该pod使用自定义的验证信息admin
cat pod-sa-demo.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: pod-sa-demo
  namespace: default
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: admin 

# kubeconfig是客户端连接apiserver时使用的认证格式的配置文件
# context定义哪个集群被哪个用户访问,current-context当前是用的是哪个context
kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://10.0.0.10:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

3.创建useraccount

# 证书存放位置
cd /etc/kubernetes/pki/
# 做一个私钥,生成lixiang.key
(umask 077; openssl genrsa -out lixiang.key 2048)
# 基于私钥生成一个证书,生成lixiang.csr,CN就是用户账号名
openssl req -new -key lixiang.key -out lixiang.csr -subj "/CN=lixiang"
# 签发证书,生成lixiang.crt,-days:表示证书的过期时间,x509:生成x509格式证书 
openssl  x509 -req -in lixiang.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out lixiang.crt -days 365
# 查看证书内容
openssl x509 -in lixiang.crt -text -noout
# 把用户账户信息添加到当前集群中,embed-certs=true隐藏证书信息
kubectl config set-credentials lixiang --client-certificate=lixiang.crt --client-key=lixiang.key --embed-certs=true
# 设置该用户可以访问kubernetes集群
kubectl config set-context lixiang@kubernetes --cluster=kubernetes --user=lixiang
# 切换到lixiang用户,登录k8s,可以看到lixiang用户没有管理器权限
kubectl config use-context lixiang@kubernetes
# 切回k8s管理员
kubectl config use-context kubernetes-admin@kubernetes
# 创建一个新的k8s集群,--kubeconfig:指定集群配置文件存放位置
kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://127.0.0.1:6443" \
--certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
kubectl config view --kubeconfig=/tmp/test.conf

 

参考博客:http://blog.itpub.net/28916011/viewspace-2215100/

 

转载于:https://www.cnblogs.com/fawaikuangtu123/p/11295376.html

weixin_30275415
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S创建用户账号User Account并赋予权限
06-12
本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限。 一、Kubernetes中的认证与授权 在Kubernetes中,认证(Authentication)是确认用户身份的过程,而授权(Authorization)则是确定...
【多用户】k8s多用户配置 kubeconfig
叮当猫的喵i
09-29 1297
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
k8s学习笔记-认证(Serviceaccount)
weixin_30274627的博客
05-09 628
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理, 其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiser...
k8s 带你一步步 创建用户账号(User Account),入职阿里啦
最新发布
2401_83739472的博客
04-15 976
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。[root@node-01 ~]# useradd jenkins #创建什么用户名都可以。
k8s系列(十三:实例)k8s认证serviceaccount、用集群ca签署私钥
xopqaaa的博客
01-15 411
认证——授权——准入 插件的形式,通过一个插件即可 认证: 1、token 2、sso 授权: 1、RBAC基于角色的访问许可控制 2、webhook 准入控制:用来定义对应认证授权之后的控制 客户端请求API server的信息组成 user:username,uid group...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 4633
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
k8s-user-generator
04-13
【标题】"k8s-user-generator" 是一个用于 Kubernetes 集群的用户管理工具,主要功能是生成 Kubernetes 用户身份,以便用户能够安全地访问和操作集群资源。这个工具使用 Shell 脚本来实现,因此熟悉 Bash 或者 Shell...
香橙派4和树莓派4B构建K8S集群实践之一:K8S安装脚本
07-06
1. 创建ServiceAccount:为用户或应用创建服务账户,以便安全地与K8S API交互。 2. 创建Role和RoleBinding:定义用户的权限范围,例如只读权限或管理员权限。 3. 配置kubeconfig:生成或更新用户的kubeconfig文件,...
dashbroad.zip
08-30
在k8s中,可以通过ServiceAccount、User和Group资源来管理用户身份。如果这个文件是用来创建一个新的ServiceAccount,并将其与特定的RoleBinding关联,那么新用户就能通过该ServiceAccount登录dashboard并执行相应的...
k8snssetup:用于配置多租户Kubernetes集群的虚拟工具
05-08
通过使用Role和Rolebindings在每个用户/命名空间之间进行适当的隔离,它可以简化为多租户使用而创建多个命名空间的过程,并且还可以为每个命名空间创建专用的ServiceAccount。 它还会为每个用户生成一个kubeconfig...
k8s创建用户(serviceaccount)没有token
weixin_65951291的博客
11-16 531
新版本的k8s需要手动生成。
k8s:UserAccountServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 936
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
使用 kubectl 管理 Kubernetes 容器平台
热门推荐
高飞的博客
11-06 26万+
k8s
prometheus自动发现之kubernetes_sd_configs
qq_33816243的博客
09-15 6982
通常我们的Kubernetes 集群中会有很多的 Service 和 Pod等资源,这些资源可以随着需求规模的变化而变化,而这些pod的ip,名称也并非一成不变的。那么当k8s资源创建或更新时,如果一个一个的去更改或创建对应的监控Job,那操作将会非常的繁琐。而prometheus的自动发现功能,便轻松的解决了上述问题。对于上述问题,Prometheus这一类基于Pull模式的监控系统,很显然也无法继续使用的static_configs的方式静态的定义监控目标。
k8s(九)—访问控制(创建serviceaccount账号、创建useraccount账号)
qq_43114229的博客
04-17 4907
1.访问控制简介 2.创建sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创建sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创建成功 default 1 5d19h [root@se
Kubernetes学习笔记2-使用
清风的博客
04-13 251
操作 node 查看node节点 #查看集群下所有node节点 kubectl get nodes #后面跟node 名称 查看一个节点 可以用 , 号隔开写多个名称 kubectl get node 192.168.0.1 #查看node的详细信息 kubectl describe node 192.168.0.1 #当查看节点出现以下问题时,重启下kube-apiserver 服...
Kubernetes中比较全面的Service笔记
09-08 1639
Service:服务发现 Service入门介绍 需要Service的原因,我觉得主要从两个方面考虑: Pod的状态并不稳定,导致PodIP会随时变化; 水平伸缩会使多个Pod提供相同的服务来负载均衡,但每个Pod的ip肯定说不一样的; 所以就需要一个稳定的地址来暴露服务给用户,用户完全不需要考虑podip是多少,这个就是服务发现 service。 Service的实现需要依赖于coredns,coredns是默认需要部署在集群内的一个服务; 每个node上的kube-proxy始终会去监视集群内有关
kubernetes常用命令
qq_35934312的博客
12-10 162
k8s常用命令 仅为个人学习记录,整理常用命令,如有错误,请多指教[抱拳] 查看pod详细信息 kubectl describe pod PodName 查看节点状态 kubectl get nodes 查看pods状态 kubectl get pods --all-namespaces #或命名空间 查看集群信息 kubectl cluster-info 查看K8S...
k8s 创建user,group ServiceAccount创建
06-01
), 5, self) search_result_table.setHorizontalHeaderLabels(["ID", "类型", "支出", "关键字", "在 Kubernetes 中,可以使用以下步骤来创建用户、组和 ServiceAccount: 创建用户和组: 1. 通过 ssh 连日期"]) search_result_table.horizontalHeader().setSectionResizeMode(QHeaderView.Stretch) row = 0 for record in matched接到 Kubernetes 集群上的一台主节点。 2. 执行以下命令创建一个新的用户: ``` sudo user_records: for i in range(len(record)): search_result_table.setItem(row, i, QTableWidgetItem(str(record[i]))) row += add -m <username> ``` 3. 执行以下命令创建一个新的组: ``` sudo groupadd <groupname1 search_result_layout.addWidget(search_result_table) search_result_widget.setWindowTitle("查询结果") search_result_widget.show() if __> ``` 4. 执行以下命令将用户添加到组中: ``` sudo usermod -a -G <groupnamename__ == '__main__': app = QApplication(sys.argv) window = MainWindow() window.show() sys.exit(app.exec_> <username> ``` 创建 ServiceAccount: 1. 执行以下命令创建一个新的 ServiceAccount: ``` kubectl()) ``` 这个代码实现了你所要求的所有功能。在这个代码中,我们使用了PyQt5 create serviceaccount <serviceaccount-name> ``` 2. 执行以下命令获取 ServiceAccount 的详细信息: ``` kubectl来创建GUI界面,使用了QCalendarWidget来显示日历,使用了QTimeEdit来显示时间。我们通过连接clicked describe sa <serviceaccount-name> ``` 在输出中,可以看到 ServiceAccount 的名称和自动生成的 Secret 名称。 信号和槽来更新当前日期和时间。我们还使用了QLineEdit、QComboBox和QPushButton等控件来实现记3. 可以使用以下命令将 ServiceAccount 绑定到一个或多个角色: ``` kubectl create rolebinding账和查询功能。我们使用了QTableWidget来显示记账和查询结果,并使用了CSV文件来保存记账数据 <binding-name> --role=<role-name> --serviceaccount=<namespace>:<serviceaccount-name> ``` 其中,`<。我们使用了defaultdict来计算每种类型的总支出,并使用了QMessageBox来显示查询结果。 希望binding-name>` 是绑定的名称,`<role-name>` 是角色的名称,`<namespace>` 是 ServiceAccount 所在这个代码能够对你有所帮助,祝你好运!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值