k8s-1.28.2权限管理(系统普通用户查看对应namespace)

最新推荐文章于 2024-11-02 22:42:44 发布
最新推荐文章于 2024-11-02 22:42:44 发布
阅读量1k 收藏 12
点赞数 25
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39761731/article/details/134964032
版权
该博客详细介绍了如何在Kubernetes 1.28.2环境中为系统普通用户nacos1授予查看特定namespace(nacos)的权限。步骤包括:创建用户证书、生成kubeconfig授权文件、设置RBAC角色和角色绑定、将权限应用到Ubuntu用户以及验证权限。通过这些步骤,用户可以仅查看和监控namespace内的Pods。
摘要由CSDN通过智能技术生成

操作前提是已经有namespace,本文的namespace是nacos

一. 新建用户

1. 创建用户证书key

umask 077; openssl genrsa -out nacos1.key 2048

2 .创建用户证书请求

参数:-subj指定组和用户,其中O是组名,CN是用户名

openssl req -new -key nacos1.key -out nacos1.csr -subj "/O=nacos1/CN=nacos1"

3. 使用k8s的ca签发用户证书

openssl x509 -req -in nacos1.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out nacos1.crt -days 3650

二. 生成kubeconfig授权文件

1.设置集群参数,设置kubeconfig的clusters配置段

kubectl config set-cluster kubernetes \

--certificate-authority=/etc/kubernetes/pki/ca.crt \

最低0.47元/天 解锁文章
weixinrp_39761731
关注
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
k8s系列文章二:集群配置
weixin_49278803的博客
11-13 710
注,可以配置-r --cri-socket=/var/run/containerd/containerd.sock来实现主机上pod的删除。# 此时,host主机信息存储在/etc/hosts,k8s基础信息在/etc/kubernetes/init-default.yaml中。Node和Pod之间的关系是一对多的关系,即一个Node上可以运行多个Pod,但一个Pod只能运行在一个Node上。在控制平面节点的/etc/kubernetes/目录下找到生成的token文件,内容即为加入令牌。
k8s集群配置普通用户权限
jingleli21的博客
05-23 676
因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建。resources: ["pods","pods/log","deployments"] #*表示所有资源。:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。:负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作。- apiGroups: ["*"] # "" 表示所有api组。name: lyj # "name" 是区分大小写的。
k8s学习之 ---基本用法
Jiawen的博客
07-25 724
文章目录基本命令用法yaml文件 基本命令用法 概述 正常情况下,我们是使用普通用户来运行k8s的,也应该在普通用户下运行,这样有利于系统的管理。使用kubeadm初始化完k8s后就可以迁移至普通用户了。 首先,需要kubeadm init加一系列参数来初始化k8s集群信息。这是一个分水岭,只有初始化好了集群才能进行后续的学习,虽然kubeadm安装很简单,但我建议还是得先去简单了解一下k8s的集群架构,什么基本组件,网络架构,工作方式等等,不然,安装阶段也会踩很多坑,而且是那种错了你不知道啥原因,网上查
普通用户自定义创建 Kubernetes 权限
愿许浪尽天涯的博客
06-12 2058
需求: 由于开发同事需要在 K8s 集群内查看 Pod 的应用日志,为了防止开发同事在集群内误操作,我们这里通过配置 UserAccount 的方式将开发同事的账号权限降低;以此来提升集群的安全性。
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
k8s RBAC授权普通系统用户对namespace访问权限
疯飙的蜗牛
08-11 979
背景:最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能把管理员权限全都给它,我想只给他授予这一个 Namespace 下的权限,那应该怎么办呢?比如我这边是需要只想授予 ads这个用户 对 data 这个 Namespace 的权限,这里我就需要利用到 Kubernetes 里面的 RBAC 机制来实现了,下面记录了我的操作流程。四、导出 ads文件的config配置文件。一、创建ads用户的key。
离线部署K8S集群(二进制方式)
烟花散尽不问繁华
05-07 1600
一、前置准备 准备三台服务器,操作系统centos7.x 硬件配置:CPU2核、内存2GB、硬盘30GB 确保机器间网络互通,时钟同步,所需镜像及资源包下载链接:点击下载 规划: 节点名称 IP 安装组件 k8s-master 192.168.14.101 docker、etcd、kubelet、kube-proxy、kube-apiserver、kube-controller-manager、kube-scheduler k8s-node1 192.168.14.102 docker、
k8s权限管理
叶青
01-15 1243
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看
k8s admin 用户生成token
村长在路上
03-15 764
部署进k8s kubectl apply -f admin-namespce.yaml。
K8s的pod(三)____NameSpace和标签
qq42004的博客
03-23 2347
namespace叫做命名空间,可以把k8s集群划分成多个名称空间,然后对不同的名称空间的资源做隔离,可以控制各个名称空间的入栈,出栈策略,是一种在多个用户之间划分群集资源的方法。在 Kubernetes 中,标签(Labels)是一种键值对,用于为对象添加元数据。
k8s查看用户的token并验证
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
K8S基础-鉴权框架与用户权限分配
wangshui898的专栏
12-07 1309
Kubernetes的安全框架 访问K8S集群的资源需要过三关:认证、鉴权、准入控制 普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 访问API资源要经过以下三关才可以: Authentication(鉴权) Authorization(授权) Admission Control(准入控制)
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6745
kubernetes查看用户token
[K8S] 常用查看命令
皮卡丘在充电
08-08 2694
@查看master组件状态 kubectl get cs [root@k8s-master ~]# kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Healthy ok scheduler Healthy ok etcd-0 ...
TensorRT-LLM的k8s弹性伸缩部署方案
最新发布
smartcat2010的博客
11-02 545
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
KubernetesK8s)相关漏洞介绍
weixin_45945976的博客
10-31 638
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
k8s 查看cpu使用率最高的pod
u010674101的专栏
10-31 970
Kubernetes 中,可以使用命令查看 Pod 的资源使用情况,从而找到 CPU 使用率最高的 Pod。
k8s1.28.2安装流程
10-19
Kubernetes (k8s) 的1.28.2版本是一个较旧的版本,现在k8s已经更新到了更高版本,但基本的安装流程可以概括为以下步骤: 1. **准备环境**: - 检查操作系统支持(如Linux、macOS或Windows Subsystem for Linux等)...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值