kubernetes权限案例1:配置一个用户访问2个名称空间的操作访问权限——创建altassion用户能访问confluence和jira名称空间的所有权限资源为例(超详细)

已于 2024-04-26 15:53:50 修改
阅读量1.1k 收藏 30
点赞数 54
分类专栏: kubernetes 文章标签: jira kubernetes 云原生
于 2024-04-26 13:45:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39941298/article/details/138209510
版权
本文详细介绍了如何准备ssl证书工具,生成altassion用户的SSL证书和kubeconfig文件,创建Role和Rolebinding以访问confluence和jira命名空间,以及配置Linux用户altassion以访问相关资源。
摘要由CSDN通过智能技术生成

目录

准备

1、 名称空间

2、ssl证书工具准备

1)下载证书工具

2)解压、删除压缩包

3)重命名cfssl相关文件 

4)将cfssl文件编程全局命令 

5)给cfssl执行文件加执行权限

一、创建altassion用户

1、编辑cfssl工具的生成用户ssl证书的配置文件

2、使用cfssl工具生成用户的ssl证书 

3、生成用户的kubeconfig文件 

二、创建Role、Rolebinding,设置权限访问confluence和jira名称空间

1、设置jira命名空间的访问权限资源文件

2、设置confluence名称空间下的访问权限资源文件

3、创建资源

4、测试访问资源​编辑

三、配置linux用户(altassion)访问资源

1、创建linux用户altassion

2、设置用户密码

3、配置~/.kube/config文件

4、修改并生效~/.bash_profile 

5、测试查看访问资源情况,配置成功

准备

1、 名称空间

kubectl create ns confluence

kubectl create ns jira

2、ssl证书工具准备

1)下载证书工具

链接:https://pan.baidu.com/s/1gDRQuxekvgInplLkpjvhQw?pwd=f31x 
提取码:f31x

或者去github地址下载:Releases · cloudflare/cfssl · GitHub

# 上传到服务器

[devops@master2 ~]$ mkdir ~/ssl && cd ~/ssl
[devops@master2 ssl]$ rz
[devops@master2 ssl]$ ll
total 10556
-r-------- 1 devops devops 10808877 Apr 25 11:01 cfssl.zip 

2)解压、删除压缩包

[devops@master2 ~]$ mkdir ~/ssl && cd ~/ssl
[devops@master2 ssl]$ rz
[devops@master2 ssl]$ ll
total 39128
-rw-rw-r-- 1 devops devops 12054528 Aug 30  2023 cfssl_1.6.4_linux_amd64
-rw-rw-r-- 1 devops devops  9560064 Aug 30  2023 cfssl-certinfo_1.6.4_linux_amd64
-rw-rw-r-- 1 devops devops  7643136 Aug 30  2023 cfssljson_1.6.4_linux_amd64
-r-------- 1 devops devops 10808877 Apr 25 11:01 cfssl.zip
[devops@master2 ssl]$ rm -rf cfssl.zip 

3)重命名cfssl相关文件 

目的是为了后续操作文件名短一点,可读性好点,也省事

[devops@master2 ssl]$ rename _1.6.4_linux_amd64 "" *
[devops@master2 ssl]$ ll
total 28572
-rw-rw-r-- 1 devops devops 12054528 Aug 30  2023 cfssl
-rw-rw-r-- 1 devops devops  9560064 Aug 30  2023 cfssl-certinfo
-rw-rw-r-- 1 devops devops  7643136 Aug 30  2023 cfssljson

4)将cfssl文件编程全局命令 

将这三个文件,移动到/usr/local/bin目录下,编程全局命令~

[devops@master2 ssl]$ sudo mv ./* /usr/local/bin/
[sudo] password for devops: 
[devops@master2 ssl]$ ls -l /usr/local/bin | grep cfssl
-rw-rw-r--  1 devops devops 12054528 Aug 30  2023 cfssl
-rw-rw-r--  1 devops devops  9560064 Aug 30  2023 cfssl-certinfo
-rw-rw-r--  1 devops devops  7643136 Aug 30  2023 cfssljson

5)给cfssl执行文件加执行权限

[devops@master2 ssl]$ sudo chmod +x /usr/local/bin/cfssl*
[devops@master2 ssl]$ ls -l /usr/local/bin | grep cfssl
-rwxrwxr-x  1 devops devops 12054528 Aug 30  2023 cfssl
-rwxrwxr-x  1 devops devops  9560064 Aug 30  2023 cfssl-certinfo
-rwxrwxr-x  1 devops devops  7643136 Aug 30  2023 cfssljson

一、创建altassion用户

1、编辑cfssl工具的生成用户ssl证书的配置文件

根证书

[devops@master2 user-altassion]$ cat ca-config.json 
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

客户签名证书 

[devops@master2 user-altassion]$ cat csr.json 
{
  "CN": "altassion",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
 

2、使用cfssl工具生成用户的ssl证书 

命令中用到的两个文件

# 需要切换root用户来执行

 [root@master2 user-altassion]# cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes csr.json | cfssljson -bare altassion

 注意:这里创建的是用户,所以最后的altassion是上面配置csr.json中CN对应的值;如果要创建的是用户组,那么就应该写的是k8s(csr.json中O对应的值)

生成了3个证书文件

3、生成用户的kubeconfig文件 

编写kubeconfig.sh脚本

[root@master2 user-altassion]# cat kubeconfig.sh 
#!/bin/bash

# 配置集群;
# --certificate-authority:指定K8s的ca根证书文件路径
# --embed-certs:
#   1,true,表示将根证书文件的内容写入到配置文件中,
#   2,false,则只是引用配置文件,将kubeconfig
# --server:指定APIServer的地址。
# --kubeconfig:指定kubeconfig的配置文件名称
kubectl config set-cluster altassion-cluster \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://172.16.2.232:6443 \
  --kubeconfig=altassion.kubeconfig
 
# 设置客户端认证,客户端将来需要携带证书让服务端验证
kubectl config set-credentials altassion-client \
  --client-key=altassion-key.pem \
  --client-certificate=altassion.pem \
  --embed-certs=true \
  --kubeconfig=altassion.kubeconfig

# 设置默认上下文,可以用于绑定多个客户端和服务端的对应关系(客户端和服务端绑定)。
kubectl config set-context altassion \
  --cluster=altassion-cluster \
  --user=altassion-client \
  --kubeconfig=altassion.kubeconfig

# 设置当前使用的上下文(正式生效)
kubectl config use-context altassion --kubeconfig=altassion.kubeconfig
 

执行脚本生成用户证书文件

#文件有小错误,报错啦...

[root@master2 user-altassion]# bash kubeconfig.sh 
Cluster "altassion-cluster" set.
error: could not stat client-key file dolphin-key.pem: stat dolphin-key.pem: no such file or directory
Context "altassion" created.
Switched to context "altassion".

# 重新编辑z
[root@master2 user-altassion]# vi kubeconfig.sh
[root@master2 user-altassion]# bash kubeconfig.sh 
Cluster "altassion-cluster" set.
User "altassion-client" set.
Context "altassion" modified.
Switched to context "altassion".
 

 查看证书文件生成

测试查看资源访问,所有资源都无法访问,因为没有进行角色绑定

二、创建Role、Rolebinding,设置权限访问confluence和jira名称空间

1、jira命名空间的访问权限资源文件

[devops@master2 user-altassion]$ cat role-jira-admin.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # cluster是针对集群范围对象,不需要namespace字段
  name: role-jira-admin
  namespace: jira

# 访问命名空间下的所有资源
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-jira-admin
  namespace: jira
subjects:
- kind: User
  name: altassion
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: role-jira-admin
  apiGroup: rbac.authorization.k8s.io

2、confluence名称空间下的访问权限资源文件

[devops@master2 user-altassion]$ cat role-confluence-admin.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # cluster是针对集群范围对象,不需要namespace字段
  name: role-confluence-admin
  namespace: confluence
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-confluence-admin
  namespace: confluence
subjects:
- kind: User
  name: altassion
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: role-confluence-admin
  apiGroup: rbac.authorization.k8s.io
 

3、创建资源

[devops@master2 user-altassion]$ kubectl apply -f role-confluence-admin.yaml 
[devops@master2 user-altassion]$ kubectl apply -f role-jira-admin.yaml 

 4、测试访问资源

测试结果,我们可以访问jira和confluence的资源,其它名称空间资源无法访问 

三、配置linux用户(altassion)访问资源

1、创建linux用户altassion

[devops@master2 user-altassion]$ sudo useradd -g devops altassion

2、设置用户密码

[devops@master2 home]$ sudo passwd altassion
Changing password for user altassion.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

3、配置~/.kube/config文件

将生成的用户文件的altassion.kubeconfig文件拷贝并重命名到altassion用户的 ~/.kube/config(/home/altassion/.kube/config)文件中

[altassion@master2 .kube]$ pwd
/home/altassion/.kube

[altassion@master2 .kube]$ sudo cp /home/devops/ssl/user-altassion/altassion.kubeconfig ./config

4、修改并生效~/.bash_profile (这一步一般不需要配置,特殊情况如有访问不到需要配置)

[altassion@master2 ~]$ echo "export KUBECONFIG=~/.kube/config" >> ~/.bash_profile

[altassion@master2 ~]$ source ~/.bash_profile 

 5、测试查看访问资源情况,配置成功

如下图,我们看到无法访问默认命名空间资源,可以访问jira和confluence,配置成功

尘小新
关注
  • 54
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
K8S RBAC之Kubeconfig设置用户权限,不同的用户访问不同的namespace
red_sky_blue的专栏
05-30 1605
检查证书是否存在。
9.3名称空间
qq_39472202的博客
03-16 78
名称空间 在C++中,名称可以是变量、函数、结构、枚举、类以及类和结构的成员。为了避免冲突,C++标准提供了名称空间的标准工具。 声明区域(declaration region)和潜在作用区域(potential region),例如:在函数中声明变量,那么在函数中声明的地方就是,声明区域,这个变量的potential region就是在这个函数中。 在C++中新增了这样一种功能,定义一种新的声明...
Zookeeper未授权访问漏洞
weixin_57524749的博客
08-04 232
1.修改 ZooKeeper 默认端口,采用其他端口服务。在Kali中使用以下命令进行未授权访问漏洞测试。使用Zookeeper可视化管理工具进行连接.2.添加访问控制,配置服务来源地址制策略。3.增加 ZooKeeper 的认证配置。Fofa语法搜索资产信息。
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
最新发布
qq_26127905的博客
08-07 364
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置指定域名,那么这个域名会到。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 793
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
window本地安装k8s集群,用Minikube安装
08-07 383
window本地安装k8s集群,用Minikube安装
Kubernetes】k8s集群的资源发布方式
F12138X的博客
08-03 602
若不给自己设,则人生中就没有制你发挥的藩篱
【K8S】为什么需要Kubernetes
黄小黄的博客
08-04 1178
Kubernetes一个开源的,用于管理云平台中多个主机上的容器化应用,Kubernetes提供了应用部署,规划,更新,维护的一种机制,其目标是为了让部署容器化的应用简单、高效~那么,为啥需要Kubern这还需要从应用的部署方式说起~
K8S Helm
mqiqe的专栏
08-07 555
创建一个自定义 Helm Chart,遵循以下步骤:.使用 Helm CLI 工具,可以快速初始化一个新的Chart目录结构。这将创建一个名为mychart的目录,其中包含Chart.yaml文件和一些示例模板文件(如deployment.yaml, service.yaml等)。2.在Chart.yaml文件中,定义Chart的名称、版本、描述、维护者信息等。编辑模板文件:在templates目录下,编辑或添加Kubernetes资源文件(YAML格式),这些文件将定义应用程序。
PHP之k8s学习
weixin_44874327的博客
08-07 265
具体来说,Kubernetes 可以将应用程序打包成容器,并将这些容器部署到一个集群中,然后自动处理容器的生命周期管理、自动扩容等操作,让用户更加专注于应用程序的开发和业务逻辑。同时,Kubernetes 还提供了一系列的资源管理机制,如资源调度、容器网络、存储编排等,控制整个容器集群的运行状态,并保证应用程序在容器集群中的高可用性和可靠性。总之,Kubernetes 提供了一种优秀的容器化应用程序管理解决方案,可以让用户更加轻松地部署、扩展和管理容器化应用程序,提高应用程序的可靠性和稳定性。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(一)
zerotoall的博客
08-07 141
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(一) 思考一下问题: 1、简述ETCD及其特点? 2、简述ETCD适应的场景? 3、简述什么是Kubernetes? 4、简述Kubernetes和Docker的关系? 5、简述Kubernetes中什么是Minikube、Kubectl、Kubelet?
k8s基础概念
weixin_44021343的博客
08-03 394
B站K8S视频地址。
K8s所有的组件及其作用
weixin_45631123的博客
08-07 191
Kubernetes的架构设计使得其组件相互协作,以提供强大的容器编排和管理能力。每个组件在整个系统中的作用各有侧重,从控制平面到工作节点,再到应用层,形成了一个完整的生态系统。通过合理使用这些组件,可以实现灵活、高效的容器管理和服务部署。
搭建 Rancher 服务,配置k8s集群
IT_Holmes的博客
08-04 617
💡Tips:其实,这些步骤,在rancher中,也是有向导的。也明确告诉了,安装kubectl和将配置文件,配置到何处。还是对应上面先安装 kubectl 那些操作,之后通过命令形式,去管理k8s或者rancher相关信息。如果 Rancher 服务宕机,Kubernetes 集群环境不会受到影响。在这种情况下,需要通过。💡Tips:项目 是 Rancher独有的,并不是属于k8s相关的。💡Tips:如果有爆红的提示,可以暂时不用管,会自动消除。直接通过docker命令实现即可,很方便。
k8s—ingress应用
qinxue722的博客
08-07 720
Ingress Controller 可以理解为控制器,它通过不断的跟 Kubernetes API 交互,实时获取后端Service、Pod 等的变化,⽐如新增、删除等,然后结合 Ingress 定义的规则⽣成配置,然后动态更新上边的 Nginx 负载均衡器,并刷新使配置⽣效,来达到服务⾃动发现的作⽤。Ingress 则是定义规则,通过它定义某个域名的请求过来之后转发到集群中指定的 Service。: 具体实现反向代理及负载均衡的程序,对ingress定义的规则进⾏解析,根据配置的规则来实现请求转发;
k8sGPT scanning minikube on Macbook
爱死亡机器人
08-07 309
通过在MacBook上使用k8sGPT扫描Minikube集群,我们可以快速发现和解决Kubernetes集群中的潜在问题。Minikube提供了一个方便的本地开发环境,而k8sGPT则为集群的健康和优化提供了强有力的支持。希望这篇文章能帮助你在使用Kubernetes时更加得心应手。如果你还没有尝试过k8sGPT,强烈推荐你在你的开发环境中试试它。
使用VM安装K8S
weixin_44021343的博客
08-03 693
解决方式:调整CPU和内存即可。
centos7.9安装k8s 1.3
weixin_43258559的博客
08-07 560
安装k8s 1.3
k8s使用kustomize来部署应用
HELLOWORLD2424的博客
08-04 356
这是一个标准的kustomize项目的目录结构,base存放这deployment和service相关,overlay存放着不同环境定制化的一下信息,这里只有一个dev的环境。我们逐一看看每个文件里面的内容吧。输出合成后的结果,重点关注replica和image,已经换成我们在overlay/dev下面定制的参数。本文主要是讲述kustomzie的基本用法。首先,我们说一下部署文件的目录结构。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值