kubernetes用户授权

最新推荐文章于 2024-05-23 10:11:48 发布
最新推荐文章于 2024-05-23 10:11:48 发布
阅读量549 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/hgfdoing/blog/3013636
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

生成kubernetes集群用户的kubeconfig文件并设置context。 ## 思路 1. 用集群证书和私钥生成用户证书和密钥 2. 为用户创建特定的namespace 3. 为用户创建角色和绑定角色 4. 打印客户端kubelet context 配置命令 ## 脚本 ```shell # username user='sch' # user access namespace namespace='sch' # path contains ca crt and ca key capath=/etc/kubernetes/pki # seld sign crt valid duration days=365 # generate private key openssl genrsa -out $user.key 2048 # generate csr openssl req -new -key $user.key -out $user.csr -subj "/CN=$user" # generate user crt openssl x509 -req -in $user.csr -CA $capath/ca.crt -CAkey $capath/ca.key -CAcreateserial -out $user.crt -days $days if [ $? -ne 0 ]; then echo "ERROR: generate user crerdentials error!" exit; fi # create kubernetes namespace kubectl create namespace $namespace # create role cat < role.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: namespace: $namespace name: admin rules: - apiGroups: [""] resources: ["*"] verbs: ["*"] EOF # role binding cat < role-binding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: admin-binding namespace: $namespace subjects: - kind: User name: $user apiGroup: "" roleRef: kind: Role name: admin apiGroup: "" EOF # kubernetes apply config kubectl apply -f role.yaml kubectl apply -f role-binding.yaml # print context config command echo "" echo "**************************************************" echo "Follow these steps to config client" echo "1. copy $user.crt $user.key $capath/ca.crt to client" echo "2. add \"10.61.150.188 k8s.ict.ac.cn\" to client hosts" echo "3. install kubelet on client mashine:" echo "4. config kubelet context(** must int client ca file directory **):" echo "" echo "kubectl config set-credentials $user --client-certificate=$user.crt --client-key=$user.key" echo "kubectl config set-cluster kubernetes --server https://k8s.ict.ac.cn:6443 --certificate-authority=ca.crt" echo "kubectl config set-context default --user=$user --cluster=kubernetes --namespace $namespace" echo "kubectl config use-context default" ```

--Edited from Rpc

转载于:https://my.oschina.net/hgfdoing/blog/3013636

weixin_34401479
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes用户权限认证体系
01-20
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,...
Getting Started with Kubernetes
05-19
2. **授权(Authorization)**:通过 Role-Based Access Control (RBAC) 确保用户只能访问其被授予的资源和操作。 3. **加密通信**:所有 API 通信都应使用 TLS 加密,确保数据安全。 **总结** "Getting Started ...
Kubernetes实战指南(三十四): 高可用安装K8s集群1.20.x
杜先生的博客
12-12 3671
文章目录1. 安装说明2. 节点规划3. 基本配置4. 内核配置5. 基本组件安装6. 高可用组件安装7. 集群初始化8. 高可用Master9. 添加Node节点10. Calico安装11. Metrics Server部署12. Dashboard部署 1. 安装说明 虽然K8s 1.20版本宣布将在1.23版本之后将不再维护dockershim,意味着K8s将不直接支持Docker,不过大家不必过于担心。一是在1.23版本之前我们仍然可以使用Docker,二是dockershim肯定会有人接盘,我们
k8s基础11——安全控制之RBAC用户授权、RBAC用户授权、SA程序授权
百慕卿君博客
05-14 1728
1、K8s安全框架和基本概念。 2、RBAC用户授权用户授权、sa程序授权
k8s集群配置普通用户权限
最新发布
jingleli21的博客
05-23 601
因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建。resources: ["pods","pods/log","deployments"] #*表示所有资源。:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。:负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作。- apiGroups: ["*"] # "" 表示所有api组。name: lyj # "name" 是区分大小写的。
k8s之基于用户/用户授权
jiayu的博客
05-07 1812
Kubernetes 通过身份认证插件利用客户端证书、持有者令牌(Bearer Token)或身份认证代理(Proxy) 来认证 API 请求的身份,这篇博客将介绍如何基于用户用户组进行授权
k8s认证和授权
梵修
10-15 2671
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
K8s安全管理:认证、授权、准入控制
weixin_49888547的博客
06-07 4049
k8s 对我们整个系统的认证,授权,访问控制做了精密的设置;对于 k8s 集群来说,apiserver 是整个集群访问控制的唯一入口,我们在 k8s 集群之上部署应用程序的时候,也可以通过宿主机的NodePort 暴露的端口访问里面的程序,用户访问 kubernetes 集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s 中
Key concepts in Kubernetes
11-14
RBAC(基于角色的访问控制)是 Kubernetes 中的一种安全机制,用于控制用户和服务账户的访问权限。RBAC 可以提供基于角色的访问控制,从而确保应用程序的安全性。 Audit Log Audit Log 是 Kubernetes 中的一种审计...
Kubernetes-Best-Practices
03-08
本指南将深入探讨Kubernetes的最佳实践,帮助用户更好地理解和优化其Kubernetes集群的运行。 一、设计高可用性集群 1. **多节点部署**:确保集群至少包含三个控制平面节点,以实现冗余和容错。 2. **网络策略**:...
Kubernetes指南(Kubernetes Handbook)
03-19
Kubernetes 可用于资源控制、高可用性、端口映射、用户管理、GPU 支持、安全审计、备份恢复、证书轮换、大规模集群管理、大数据与机器学习应用、Serverless 架构等场景。对于常见问题,提供了详细的排错指南,涵盖从...
kubernetes实战(套装共2册)
06-05
kubernetes实战(套装共2册) k8s kindle格式 pc、手机下个kindle客户端就能看,效果很好。
【阿里云】深入浅出Kubernetes项目实战手册(超详细127页).pdf
06-03
为大家提供阿里云《深入浅出Kubernetes项目实战手册》下载,帮助你一次搞懂 6 个核心原理,吃透基础理论,一次学会 6 个典型问题的华丽操作!
Kubernetes实战(套装共2册)PDF
08-17
Kubernetes实战(套装共2册)PDF Kubernetes实战(套装共2册)PDF Kubernetes实战(套装共2册)PDF
oc-gate:它允许有权访问对象列表的k8s用户在有限的时间内授予其他用户(或没有k8s用户)访问其对象子集的权限
03-14
闸门 它允许有权访问对象列表的k8s用户在有限的时间内授予其他用户(或没有k8s用户)访问其对象子集的权限。 OC Gate在k8s RABC之上提供了一个过滤层,可通过在将请求和对象名称传递给k8s RBAC进行最终处理之前验证请求的时间和对象名称来过滤请求。 (gopher网络映像 ) 安装 使用go install: go install github.com/yaacov/oc-gate/cmd/oc-gate 有关群集部署,请参见 。 我该怎么办? 利用k8s API的功能创建安全的Web应用程序。 根据API路径匹配,在有限的时间内转租对k8s资源的访问。 上面的截屏使用 ro创建了令牌。 模式 使用OAuth2身份验证颁发者的交互式身份验证。 使用承载JWT授权标头的非交互式身份验证。 使用ODK内部OAuth2服务器运行 当使用OKD(Openshift)
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1407
梳理出UserAccount用户账号一条线
基于RBAC的k8s用户授权示例
Sebastien23的博客
01-01 700
的资源属于核心API组。Service与Pod同属于核心API组。可以看出,mckinsey用户对Pod资源有读权限,对其他资源(例如Deployment)没有读权限。中的server,就可以通过mckinsey用户的权限来访问Kubernetes集群资源。目前mckinsey用户对Pod只有读权限。为mckinsey用户创建并绑定RBAC权限策略,这里仅授予对Pod的读权限。RoleBinding可以将Role中定义的权限赋予一个用户或者一组用户。则用于生成用户mckinsey的CA证书签名请求,其中。
Kubernetes Kubectl 命令完全指南
包括创建、暴露、更新、自动伸缩、转换等多种功能,旨在帮助用户更有效地操作Kubernetes环境。" Kubernetes是目前广泛使用的容器编排系统,它的命令行工具`kubectl`是与集群交互的主要方式。以下是一些`kubectl`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值