kubernetes pod日志查看用户创建

已于 2023-10-11 11:41:40 修改
阅读量487 收藏
点赞数
分类专栏: kubernetes学习专栏 文章标签: kubernetes 容器 云原生
于 2023-10-10 19:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38367535/article/details/133753576
版权

目录

1.创建用户

1.1证书创建

1.2创建用户

1.3允许用户登陆

1.4切换用户

1.5删除用户

2.RBAC

2.1允许user1用户查看pod日志

3.使用用户

1.创建用户

1.1证书创建

进入证书目录
# cd /etc/kubernetes/pki

创建key
# openssl genrsa -out user1.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................................+++
........+++
e is 65537 (0x10001)

创建csr
# openssl req -new -key user1.key -out user1.csr -subj "/CN=user1"

查看创建结果
# ll
total 72
-rw-r--r-- 1 root root 1310 Jun 12 14:52 apiserver.crt
-rw-r--r-- 1 root root 1155 Jun 12 14:52 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Jun 12 14:52 apiserver-etcd-client.key
-rw------- 1 root root 1679 Jun 12 14:52 apiserver.key
-rw-r--r-- 1 root root 1164 Jun 12 14:52 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 Jun 12 14:52 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1099 Jun 12 14:52 ca.crt
-rw------- 1 root root 1675 Jun 12 14:52 ca.key
-rw-r--r-- 1 root root   17 Oct 10 18:07 ca.srl
drwxr-xr-x 2 root root 4096 Jun 12 14:52 etcd
-rw-r--r-- 1 root root 1115 Jun 12 14:52 front-proxy-ca.crt
-rw------- 1 root root 1675 Jun 12 14:52 front-proxy-ca.key
-rw-r--r-- 1 root root 1119 Jun 12 14:52 front-proxy-client.crt
-rw------- 1 root root 1679 Jun 12 14:52 front-proxy-client.key
-rw------- 1 root root 1679 Jun 12 14:52 sa.key
-rw------- 1 root root  451 Jun 12 14:52 sa.pub
-rw-r--r-- 1 root root  883 Oct 10 18:27 user1.csr
-rw-r--r-- 1 root root 1679 Oct 10 18:26 user1.key

修改权限
# chmod 600 user1.key

使用集群证书签发

# openssl x509 -req -in user1.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out user1.crt -days 1095

Signature ok
subject=/CN=user1
Getting CA Private Key

查看签发的证书

# openssl x509 -in user1.crt -text -noout

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            fc:aa:fd:55:13:43:c3:62
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Oct 10 10:30:34 2023 GMT
            Not After : Oct  9 10:30:34 2026 GMT
        Subject: CN=user1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d8:c0:f2:4c:35:42:32:97:12:0f:c1:c2:0f:16:
                    ........篇幅省略
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         8d:92:df:d1:53:cf:0c:e6:97:10:cc:53:37:16:01:0c:69:c3:
         ......篇幅省略

1.2创建用户

# kubectl config set-credentials user1 --client-certificate=./user1.crt --client-key=./user1.key --embed-certs=true

User "user1" set.

1.3允许用户登陆

# kubectl config set-context user1@kubernetes --cluster=kubernetes --user=user1

Context "user1@kubernetes" created.

查看集群信息

# kubectl config view

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://master01:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
- context:
    cluster: kubernetes
    user: user1
  name: user1@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED
- name: user1
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED

可以看到user1已经存在并可以登陆

1.4切换用户

# kubectl config use-context user1@kubernetes

Switched to context "user1@kubernetes".

 但此时用户没有任何权限,需要配置rbac

# kubectl get pod

Error from server (Forbidden): pods is forbidden: User "user1" cannot list resource "pods" in API group "" in the namespace "default"

1.5删除用户

# kubectl config delete-context user1@kubernetes

deleted context user1@kubernetes from /root/.kube/config

# kubectl config unset users.user1

Property "users.user1" unset.

2.RBAC

2.1允许user1用户查看pod日志

# cat user1_pod_get.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-log-reader
rules:
- apiGroups: [""]
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]  # 允许 "user1" 用户获取和列出 Pod 以及日志
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-log-reader-binding
  namespace: default
subjects:
- kind: User
  name: user1  # 这里的 "user1" 是您之前创建的用户名称
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-log-reader
  apiGroup: rbac.authorization.k8s.io

再次使用user1用户就可以查看pod和日志了

# kubectl get pod -n default

# kubectl logs -f pod/free-study-questionnaire-5c7f8c878d-859wl

3.使用用户

默认需要切换,但给开发人员或者相关人员时他们是不需要切换的,所以需要配置kubectl

首先需要按照kubectl命令

安装完成后有几种方式配置:

1、拷贝创建当初创建用户的kubectl命令所在服务器下的'$HOME/.kube/config'到新kubectl命令所在服务器的'$HOME/.kube/config',然后删除admin和其他不需要的用户后即可

2、手动编写

需要拷贝ca.crt、user1.crt、user1.key到新kubectl服务器

编写如下文件

apiVersion: v1
clusters:
- cluster:
    certificate-authority: ca.crt
    server: https://master01:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: user1
  name: user1@kubernetes
current-context: user1@kubernetes
kind: Config
preferences: {}
users:
- name: user1
  user:
    client-certificate: user1.crt
    client-key: user1.key

如果将该文件名称定义为 config, 则可以直接使用kubectl命令进行操作

如果改名称为其他,如 user1.yaml,则使用命令需要指定文件

kubectl --kubeconfig=$HOME/.kube/user1.yaml get pods

当然你可以有多个yaml,放在任何目录下,就可以操作多个环境

我的喵叫初六
关注
专栏目录
如何使用 Kubectl 查看 Kubernetes Pod 日志
学海无涯苦作舟的博客
12-24 5203
查看 Pod 日志通常是诊断集群工作负载问题的第一步。以下是如何使用 Kubectl将日志实时流式传输到您的终端,让您检查应用程序的输出。 入门 确保您已安装 Kubectl 并连接到您的集群。您可以通过KUBECONFIG在 shell 中设置环境变量来指定 Kubeconfig 文件: export KUBECONFIG=~/.kube/my-cluster.yaml 然后使用 Kubectl 列出您的 Pod: kubectl get pods –namespace当您的 Pod 位于默认命名空.
Kubernetes面试整理-如何收集和管理Pod日志
最新发布
不务正业的猿
06-29 252
Kubernetes 中,收集和管理 Pod 日志是确保应用程序健康运行和进行故障排除的重要步骤。通过这些工具和方法,您可以高效地收集和管理 Kubernetes 集群中的 Pod 日志,确保应用程序的健康运行和快速故障排除。EFK 堆栈(Elasticsearch、Fluentd 和 Kibana)是一个常用的日志收集和管理解决方案。kubectl logs 命令是最简单的查看 Pod 日志的方法。Loki 是一个水平可扩展的多租户日志聚合系统,类似于 Prometheus,但用于日志
kubernetes集群使用kubectl logs 无法查看node节点pod日志问题
热门推荐
zcc_heu的博客
12-16 3万+
kubernetes集群使用kubectl logs 无法查看node节点上pod日志问题最近在学习安装使用kubernetes集群,先把集群安装中遇到的一些困难记录下来方便以后查看,避免下次再次遇到相同的问题又得重新查找。使用了三台服务安装kubernetes集群,其中一台腾讯云服务器,二台阿里云服务器# 111.230.133.xxx master 服务器主节点 # 120.230.12.x
Rancher中创建只有访问项目权限的用户
草莓甜甜圈的博客
10-12 1854
背景:防止开发人员误操作,导致修改rancher中k8s的配置造成生产事故,开发日常操作只需要查看容器日志,所以只给他们访问项目的权限,不给修改创建等操作的权限。 在rancherUI中,在全局下选择“用户”标签,点击“添加用户”。 在项目集群中,选择“成员”标签,点击“添加成员”。这里只需给予查看节点和项目的权限。 创建成功: 测试一下:增删pod副本的请求被拒绝。 ...
k8s-常用命令
jll126的博客
11-30 2880
k8s 常用命令,补充中
Kubernetes实战】(十二)Pod 控制器 Deployment相关命令
03-25 1206
对于kubernetes来说Pod是资源调度最小单元,kubernetes主要的功能就是管理多个PodPod中可以包含一个或多个容器,而kubernetes是如可管理多个Pod的呢?对,没错,就是通过控制器,比如Deployment和ReplicaSet(rs)。kubernetes下有多个Deployment,Deployment下管理RepliceSet,通过RepliceSet管理多个Pod,通过Pod管理容器
查询k8s中deployment中的所有
zzy287dy的专栏
05-18 881
pod有几十个,那查找对应的pod有些麻烦,简单的方法是用grep,这种方式不优雅,本文解决用k8s自带的命令查找的方法。
教你如何查看Pod崩溃前的日志
因上努力,果上随缘。但行好事,莫问前程。
10-19 472
pod处于crash状态的时候,容器不断重启,此时用kubelet logs可能出现一直捕捉不到日志
10 kubernetes 日志收集流程简介、pod日志收集的几种方式
渐行渐远的博客
02-15 3569
一 elk以及kafka集群 环境准备 1.1 日志收集流程 1.2 elk集群准备 1.2.1 es集群环境准备 es版本为7.12https://www.elastic.co/cn/downloads/http://www.pingtaimeng.com/article/detail/id/2151994 7.12安装 1.2.1.1 准备java环境 yum install -y j...
1、Kubernetes Pod 控制器有哪些1
08-04
两者都通过监控Pod的运行状况,确保在Pod意外终止时自动创建新的实例。 Deployment控制器是ReplicaSet的上层抽象,提供了一种声明式的方式来管理Pod和ReplicaSet。Deployment允许用户轻松地进行滚动更新、回滚、扩...
Kubernetes pod操作命令
愤怒的小兵
09-11 481
【代码】Kubernetes pod操作命令。
Rancher是如何实现查看Pod日志
唐僧爱程序
08-06 7628
Rancher由多个组件组成 rkt: Rancher用于安装k8s的工具 ui: Rancher web ui的后台,nodejs编写 更多组件的详细列表见: https://github.com/rancher/rancher/blob/master/vendor.conf Rancher通过websocket与容器日志建立连接 我们可以通过Rancher web ui查看容器日志,按F12得到websocket的连接地址、路径和参数,如图 分析Rancher ui的源码,并通过路由router
一种适用于应用频繁测试下快速查看Pod日志的方法(grep awk xargs kuberctl)
码二哥的技术池
07-06 1666
在k8s里频繁的进行应用软件测试时,需要频繁的查看日志此时,需要频繁的获取pod的名称,很麻烦,如何快速查看日志呢?参考命令,如下 head -1,表示获取满足要求的第1行内容xargs用来获取数据将上面的命令,放到Makefile里 如下 文件Makefile的内容: 在Makefile文件存在的路径下, 执行 就相当于查看日志了已发表专栏的入口,欢迎订阅,共同进步 0  grpc-go、protobuf、multus-cni 技术专栏 总入口1  grpc-go 源码剖析与实战  文章目录2  Prot
k8s创建用户账号——User Account
cbmljs的博客
11-07 1万+
用户账户和用户Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
kubernetes Deployment Pod集群
weixin_38367535的博客
03-16 4282
Deployment是一个kubernetes资源对象,用于创建Pod集群,前身是RC和RS,也是现在创建无状态服务的首选对象。 一个简单的Deployment示例: # cat deploy.yaml apiVersion: apps/v1 kind: Deployment metadata: labels: app: deploy-myapp # 标签需要一致 name: deployment-demo spec: replicas: 2 selector:
k8s deployment 添加容器hosts解析
weixin_38367535的博客
01-05 3706
spec: hostAliases: - ip: 192.168.0.100 hostnames: - www.aaa.com containers: image: registry-vpc.cn-hangzhou.aliyuncs.com/xxxxx:v33 name: xxxx ports: - containerPort: 48080 pro...
kubernetes kubectl get --field-selector过滤
weixin_38367535的博客
03-15 3641
我们经常会用到kubectl get来查看资源情况 如: kubectl get pod -n xxx kubectl get svc -n xxx 但是如果输出太多,可能会有些杂乱 我们可能会使用 gerp 来过滤 其实kubectl已经给了一个更适合的过滤方法 --field-selector --field-selector 其实就是抓去json的指定key的value 例如我想查看一个名称为 nginx-podpod 可以这样做 # kubectl get pod --fie
kubernetes 使用jq命令对资源配置查看
weixin_38367535的博客
03-15 3079
有图形化的直接从图形化可以看到各种资源,如Deployment、Pod等资源的配置 这里写一个 jq 命令 jq命令允许针对json进行操作,如过滤 jq命令centos环境下安装 # yum -y install jq 假设我们有个文件 # cat pod-yaml { "apiVersion": "v1", "kind": "Pod", "metadata": { "name": "nginx-pod", "namespace":
kubernetes 标签选择器
weixin_38367535的博客
03-15 2553
每个资源可以定义一个或者多个标签,如Deployment、Pod等,定义标签可以用来分组,或者资源匹配。 例如service就是通过标签匹配后端的Pod,然后达到负载的目的。 网上找的一些常用标签: 查看标签: 添加标签: 第一种,命令方式 版本标签:"release" : "stable" , "release" : "canary"... 环境标签:"environment" : "dev" , "environment" : "production" 架构标签:"tie
Kubernetes 中的 Pod 概念和控制器类型
kubernetes学习日志pod介绍 kubernetes学习日志中,pod是最基本的执行单元,它可以包含一个或多个容器podkubernetes集群中的基本执行单元,pod可以包含一个或多个容器,每个容器都是一个独立的进程空间。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值