k8s-1.28.2权限管理(系统普通用户查看对应namespace)

最新推荐文章于 2024-09-02 14:24:18 发布
最新推荐文章于 2024-09-02 14:24:18 发布
阅读量1.1k 收藏 12
点赞数 25
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39761731/article/details/134964032
版权
该博客详细介绍了如何在Kubernetes 1.28.2环境中为系统普通用户nacos1授予查看特定namespace(nacos)的权限。步骤包括:创建用户证书、生成kubeconfig授权文件、设置RBAC角色和角色绑定、将权限应用到Ubuntu用户以及验证权限。通过这些步骤,用户可以仅查看和监控namespace内的Pods。
摘要由CSDN通过智能技术生成

操作前提是已经有namespace,本文的namespace是nacos

一. 新建用户

1. 创建用户证书key

umask 077; openssl genrsa -out nacos1.key 2048

2 .创建用户证书请求

参数:-subj指定组和用户,其中O是组名,CN是用户名

openssl req -new -key nacos1.key -out nacos1.csr -subj "/O=nacos1/CN=nacos1"

3. 使用k8s的ca签发用户证书

openssl x509 -req -in nacos1.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out nacos1.crt -days 3650

二. 生成kubeconfig授权文件

1.设置集群参数,设置kubeconfig的clusters配置段

kubectl config set-cluster kubernetes \

--certificate-authority=/etc/kubernetes/pki/ca.crt \

最低0.47元/天 解锁文章
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
离线部署K8S集群(二进制方式)
烟花散尽不问繁华
05-07 1657
一、前置准备 准备三台服务器,操作系统centos7.x 硬件配置:CPU2核、内存2GB、硬盘30GB 确保机器间网络互通,时钟同步,所需镜像及资源包下载链接:点击下载 规划: 节点名称 IP 安装组件 k8s-master 192.168.14.101 docker、etcd、kubelet、kube-proxy、kube-apiserver、kube-controller-manager、kube-scheduler k8s-node1 192.168.14.102 docker、
k8s集群配置普通用户权限
jingleli21的博客
05-23 750
因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建。resources: ["pods","pods/log","deployments"] #*表示所有资源。:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。:负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作。- apiGroups: ["*"] # "" 表示所有api组。name: lyj # "name" 是区分大小写的。
k8s安全,授权其他用户管理一个namespace
qq_40862772的博客
06-08 420
k8s,运维
k8s学习之 ---基本用法
Jiawen的博客
07-25 748
文章目录基本命令用法yaml文件 基本命令用法 概述 正常情况下,我们是使用普通用户来运行k8s的,也应该在普通用户下运行,这样有利于系统的管理。使用kubeadm初始化完k8s后就可以迁移至普通用户了。 首先,需要kubeadm init加一系列参数来初始化k8s集群信息。这是一个分水岭,只有初始化好了集群才能进行后续的学习,虽然kubeadm安装很简单,但我建议还是得先去简单了解一下k8s的集群架构,什么基本组件,网络架构,工作方式等等,不然,安装阶段也会踩很多坑,而且是那种错了你不知道啥原因,网上查
普通用户自定义创建 Kubernetes 权限
愿许浪尽天涯的博客
06-12 2145
需求: 由于开发同事需要在 K8s 集群内查看 Pod 的应用日志,为了防止开发同事在集群内误操作,我们这里通过配置 UserAccount 的方式将开发同事的账号权限降低;以此来提升集群的安全性。
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
rancher搭建k8s及jenkins自动化部署
梦昼初的博客
09-02 2243
注:服务器名需要配置不同,相同服务器名不能加入node节点。
k8s权限管理
叶青
01-15 1288
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看
k8s1.28.0集群发布一个django4.2.8应用
SeeYouGoodBye的专栏
02-12 522
k8s集群发布自定义的django应用并实现外网访问
k8s RBAC授权普通系统用户对namespace访问权限
疯飙的蜗牛
08-11 1036
背景:最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能把管理员权限全都给它,我想只给他授予这一个 Namespace 下的权限,那应该怎么办呢?比如我这边是需要只想授予 ads这个用户 对 data 这个 Namespace 的权限,这里我就需要利用到 Kubernetes 里面的 RBAC 机制来实现了,下面记录了我的操作流程。四、导出 ads文件的config配置文件。一、创建ads用户的key。
Kubernetes_认证授权_查看一个用户具有哪些权限(RBAC实践类)
毛毛的专栏
10-22 3000
查看一个用户具有哪些权限(RBAC实践类)
k8s admin 用户生成token
村长在路上
03-15 896
部署进k8s kubectl apply -f admin-namespce.yaml。
K8s的pod(三)____NameSpace和标签
qq42004的博客
03-23 2434
namespace叫做命名空间,可以把k8s集群划分成多个名称空间,然后对不同的名称空间的资源做隔离,可以控制各个名称空间的入栈,出栈策略,是一种在多个用户之间划分群集资源的方法。在 Kubernetes 中,标签(Labels)是一种键值对,用于为对象添加元数据。
k8s查看用户的token并验证
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
K8S基础-鉴权框架与用户权限分配
wangshui898的专栏
12-07 1335
Kubernetes的安全框架 访问K8S集群的资源需要过三关:认证、鉴权、准入控制 普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 访问API资源要经过以下三关才可以: Authentication(鉴权) Authorization(授权) Admission Control(准入控制)
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6872
kubernetes查看用户token
[K8S] 常用查看命令
皮卡丘在充电
08-08 2723
@查看master组件状态 kubectl get cs [root@k8s-master ~]# kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Healthy ok scheduler Healthy ok etcd-0 ...
centos安装k8s 1.28.2
最新发布
02-27
### 安装 Kubernetes 1.28.2 on CentOS #### 准备工作 确保操作系统是最新的状态,并关闭防火墙和服务冲突项。 ```bash sudo yum update -y && sudo yum upgrade -y sudo swapoff -a sudo sed -i '/swap/d' /etc/fstab ``` 为了使内核参数适应Kubernetes的要求,设置必要的sysctl参数: ```bash cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 EOF sudo sysctl --system ``` #### 安装 Docker 和 CRI-Dockerd 安装Docker作为容器运行时工具,并配置CRI-Dockerd以便于与Kubernetes兼容[^2]。 ```bash # 添加docker-ce仓库并安装最新版docker-ce sudo yum install -y yum-utils device-mapper-persistent-data lvm2 sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo sudo yum install docker-ce docker-ce-cli containerd.io -y # 启动并启用docker服务 sudo systemctl start docker sudo systemctl enable docker # 下载cri-dockerd二进制文件并解压到指定位置 wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.2.3/cri-dockerd-v0.2.3-linux-amd64.tar.gz tar zxvf cri-dockerd-v0.2.3-linux-amd64.tar.gz -C / rm -rf cri-dockerd-v0.2.3-linux-amd64.tar.gz # 创建cri-dockerd.service单元文件 cat <<EOF | sudo tee /usr/lib/systemd/system/cri-dockerd.service [Unit] Description=CRI interface for Docker application container runtime After=network-online.target firewalld.service Wants=docker.service [Service] Environment="PATH=/bin:/sbin" ExecStartPre=-/usr/bin/mkdir -p /var/run/cri-dockerd ExecStart=/usr/local/sbin/cri-dockerd \ --container-runtime-endpoint 'unix:///run/containerd/containerd.sock' Restart=always RestartSec=5 Delegate=yes KillMode=process OOMScoreAdjust=-999 [Install] WantedBy=multi-user.target EOF # 加入开机自启并启动cri-dockerd服务 sudo systemctl daemon-reload sudo systemctl enable cri-dockerd --now ``` #### 设置 Kubelet 使用 CRI-Dockerd 编辑`/etc/default/kubelet`来指明kubelet应该通过什么途径连接至CRI接口。 ```bash echo 'KUBELET_EXTRA_ARGS="--container-runtime remote --container-runtime-endpoint unix:///var/run/cri-dockerd.sock"' | sudo tee /etc/default/kubelet ``` #### 安装 Kubernetes 组件 (kubeadm, kubelet and kubectl) 添加官方的yum源用于获取最新的稳定版本软件包。 ```bash cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg exclude=kube* EOF # 安装所需的组件 sudo setenforce 0 sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes sudo systemctl enable --now kubelet ``` #### 初始化集群 Master 节点 使用预定义好的配置文件初始化master节点。这一步骤会创建一个单机或多机组成的控制平面实例。 ```bash # 复制默认配置模板供修改之用 cp /etc/kubernetes/kubeadm-config.yaml /root/kubeadm-config.yaml_$(date +%Y%m%d) # 编辑/root/kubeadm-config.yaml调整所需选项后执行如下命令完成初始化过程 sudo kubeadm init --config=/root/kubeadm-config.yaml --upload-certs ``` #### 配置kubectl访问权限 为了让当前用户能够管理新建立起来的cluster,在home目录下准备好相应的认证证书链接。 ```bash mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` #### 安装 Pod 网络插件 Flannel 最后一步是为整个Cluster提供Pod间通信能力,这里选择了Flannel作为网络方案之一。 ```bash kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml ``` 等待一段时间直到所有Node都变为Ready状态表示成功完成了全部准备工作。 ```bash watch kubectl get nodes ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值