k8s不求甚解系列:一种在k8s上创建不同权限的kubeconfig实践

已于 2023-11-29 16:11:32 修改
阅读量613 收藏 7
点赞数 9
分类专栏: k8s不求甚解 文章标签: kubernetes 容器 云原生
于 2023-11-29 16:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38757398/article/details/134692460
版权

场景

多团队在同一个k8s集群上共同开发,为了隔离不同团队对集群资源的操作能力,通过创建并分发具有不同操作权限的kubeconfig文件,隔离不同业务团队对k8s中资源的操作能力。

面向人群

集群运维人员

实验操作设置

  • 业务团队一:占用的namespace是test1
  • 业务团队二:占用的namespace是test2
  • 操作机器是在集群的master节点上

实验过程

# 在集群上创建用户
kubectl create sa user1
# 创建user1依赖的namespace命名空间
kubectl create ns test1
# 创建role,配置user1用户可以在test1的命名空间内检索pod
kubectl create role pod-reader --verb=list --resource=pods -n test1
kubectl create rolebinding pod-reader-binding --role=pod-reader --serviceaccount=default:user1 -n test1
# 获取user1的secrets并保存到本地
kubectl get sa user1 -o=jsonpath='{.secrets[0].name}'|xargs kubectl get secret  -o=jsonpath='{.data.token}' | base64 -d > user1.token
# 创建kubeconfig
# 这一步需要替换apiserver地址,确保是在master节点执行
kubectl config set-cluster kubernetes --server=https://192.168.139.100:6443 --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true --kubeconfig=user1.kubeconfig

kubectl config set-context user1 --cluster=kubernetes --user=user1 --kubeconfig=user1.kubeconfig
# 这一步依赖前文提到的user1.token文件
kubectl config set-credentials user1 --token=$(cat user1.token) --kubeconfig=user1.kubeconfig
kubectl config use-context user1 --kubeconfig=user1.kubeconfig

实现效果

不同团队可以通过不同权限的kubeconfig文件操作集群

# 现在可以切换kubeconfig了
export KUBECONFIG=user1.kubeconfig
[root@master home]# kubectl get po                                                                                          
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:default:user1" cannot list resource "pods" in 
API group "" in the namespace "default"                                                                                     
[root@master home]# kubectl get po -n test1                                                                                 
No resources found in test1 namespace.

后续

集群的运维人员可以根据k8s原生支持的面向namespace的resourceQuota、LimitRange等技术对不同团队进行资源限制

bug_createman
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s系列:深度浅出K8s:概念与部署工作负载服务负载存储权限网络生态扩展
03-04
··简介|前言 K8s的官方定义为:K8s是用于自动化容器化应用程序的部署,扩展和管理的开源系统。它将构成应用程序的容器分组为逻辑单元,以便于管理和发现。 K8s [koo-ber-nay'-tice]是Google基于Borg开源的容器编排...
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2311
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
kubernetes中使用ServiceAccount创建kubectl config 文件
weixin_30898109的博客
06-05 252
kubernetes不同的项目创建不同的SerivceAccount,那么如何通过ServiceAccount创建 kubectl config文件呢?使用下面脚本即可 # your server name goes here server=https://localhost:8443 # the name of the secret containing the service...
K8S为 Pod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题
运维@小兵的博客
09-12 7859
文章目录一、问题浅谈Docker安全性支持二、解决方法`方法一:简单粗暴``方法二:温柔可佳`Capability能力介绍点这里 一、问题 我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的 浅谈Docker安全性支持 二、解决方法 方法一:简单粗暴 设置容器为特权模式即可,但安全性不高 在yaml文件添加如下两行 securityContext: privileged: true kubectl apply -f pod-01.yam
K8S根据serveraccount权限生成kubeconfig
u013488094的博客
03-10 789
K8S根据serveraccount权限生成kubeconfig 一、 将如下脚本拷贝到节点上: #!/bin/bash # 文件名: gen.sh set -e set -o pipefail # Add user to k8s using service account, no RBAC (must create RBAC after this script) if [[ -z "$1" ]] || [[ -z "$2" ]]; then echo "usage: $0 <service_ac
使用serviceaccount制作kubeconfig文件
kevin的专栏
03-15 2207
背景 有时为了需要,我们需要给出一些具有特定集群权限kubeconfig文件,这时我们可以通过使用serviceAccount来制作具有一定集群权限kubeconfig 下面我们来使用这一技术创建一个只有greenstock命名空间权限的pod读取权限kubeconfig 代码来源:https://gist.github.com/innovia/fbba8259042f71db9...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2076
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限kubeconfig创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
K8s手工创建kubeconfig
小单的博客专栏
02-14 1942
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
k8skubeconfig的配置以及使用详解
墨鸦的博客
08-03 8388
k8skubeconfig的配置以及使用详解
k8s-eip:将弹性IP绑定到AWS上的Kubernetes节点以降低成本
03-22
它将一组指定的弹性IP绑定到AWS上的多个K8S节点。它会定期运行,因此您不能将其用于HA /关键用例。 问:是否会触发令人恐惧的弹性IP重新映射费用? 作为一个以省钱为目标的项目,肯定没有:)。实际上,它会尝试不这样...
aws-k8s-provision:轻松地在AWS上部署kubernetes
05-25
AWS 上简化部署kubernetes project的方案一些变量(如集群service 的IP段, pod 分配的ip段等等)均已hardcode方式嵌入其中以便快速部署出kubernetes 环境, 同时方便理解各个组件工作原理以及相应的功能内容中有任何...
k8s-ansible:Ansible Playbook创建HA kubernetes集群
04-29
它主要是为在带有calico CNI的ubuntu 16.04+上的裸机部署上创建的,除kube-dns之外未安装任何集群插件,除docker之外均未支持任何容器运行时(也许稍后会支持CRI-O)。 组件版本和其他一些设置可以在variables/k8s-...
k8s-fah:在Kubernetes上运行folding @ home
01-31
k8s-fah:在Kubernetes上运行folding @ home
k8s相关常用语句
QQ563627436的博客
05-11 651
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
k8s、helm删除不掉资源问题处理
yztezhl的专栏
05-13 461
k8s、helm删除不掉资源问题处理
k8s1.24+ dashboard不能自动生成token的问题
梦想成为一名优秀的测开人员
05-17 249
根据yaml文件配置内容创建更新资源对象,可以看到没有生成admin-token类似字眼。较早版本会自动生成secret,v1.28.2版本需要手动生成,执行命令即可。创建k8s-admin.yaml文件。
k8s-从应用访问pod元数据以及其他资源
weixin_43784341的博客
05-14 496
Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 752
部署网络组件部署 flannel。
安装k8s的负载均衡器MetalLB
最新发布
纵歌的博客
05-17 614
安装k8s的负载均衡器MetalLB(新旧版安装不同)
k8s给用户a创建kubeconfig文件,用户a账号登陆linux怎么才能切换上下文
06-13
要切换上下文,可以使用以下命令: ...其中,`<kubeconfig文件路径>`是kubeconfig文件的路径,`<上下文名称>`是要切换到的上下文名称。切换上下文后,就可以使用kubectl命令管理对应的Kubernetes集群了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值