创建对K8s资源对象仅有只读权限的Linux系统用户

最新推荐文章于 2023-05-27 12:28:17 发布
最新推荐文章于 2023-05-27 12:28:17 发布
阅读量637 收藏
点赞数 1
分类专栏: kubernetes运维 文章标签: kubernetes linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40930677/article/details/114378115
版权

一. 基础知识:

  1. K8s默认采用RBAC鉴权方式,包含4个顶级资源对象,Role/ClusterRole/RoleBinding/ClusterRoleBinding
  2. Role/ClusterRole:角色和集群角色,角色/集群角色 = 一组对K8s资源对象操作权限的集合(如get pod,delete deployment等操作均需要权限)
  3. RoleBinding/ClusterRoleBinding:角色绑定和集群角色绑定,通过这两种资源对象,可以将Role/ClusterRole与集群中对象进行绑定,包括User/Group/Service Account
  4. 上述集群中对象User/Group/service Account与宿主机无直接关系,如此处User为k8s集群内用户,而/etc/passwd中的为Linux系统用户
  5. 通过kubeconfig可以将系统用户和K8s集群用户关联,如:
[root@test ~]# kubectl --kubeconfig=readonly.conf get pods
(执行该命令需要先切换kubeconfig中当前的上下文,配置过程中会详细说明)
# root用户执行kubectl并指定kubeconfig配置文件,该文件中保存有名为readonly的K8s集群用户的证书信息和秘钥信息,
# 这样root用户就可使用K8s集群中readonly用户具有的相应权限来对集群资源对象进行操作,
# 而readonly用户具有的权限是通过RoleBinding/ClusterRoleBinding将K8s集群用户readonly与Role/ClusterRole(一组权限)进行绑定而得到的。

二. 举例说明Linux系统用户、K8s集群User用户、Role/ClusterRole、RoleBinding/ClusterRoleBinding间的关系:

班级中的对应关系:
Linux系统用户:助教小明
K8s集群User用户:职务,如班长、学习委员...
Role/ClusterRole:责任或权利,如收作业,安排值日...
RoleBinding/ClusterRoleBinding:老师安排职务和权利对应关系
ca.pem/ca-key.pem或ca.crt/ca.key(集群CA根证书和CA私钥):班级公章,用于盖章生成集群证明
--kubeconfig指定的文件:印的写有某职务名的肩章,如“三年二班班长”肩章
运维工程师:班主任
  1. 绑定职务及权利(Role/ClusterRole与RoleBinding/ClusterRoleBinding原理)
    三年二班中有很多日常工作要做,如收作业,安排值日,检查着装等;班主任为了便于管理,就设置了几个职务如班长、学习委员,并且规定,班长的权利有:安排值日,检查着装,学习委员的权利有:收作业。老师通过规定(RoleBinding/ClusterRoleBinding)将职务(User)与权利(Role/ClusterRole)进行绑定,这样同学们就知道班长(User)有什么权利能干什么(Role/ClusterRole)。当然,老师同样可以规定,班级中有班长和副班长,但是两人的权利完全相同,即多个User绑定同一个Role/ClusterRole。
  2. 制作肩章过程(生成kubeconfig文件)
    班级通过一致决定(通过集群认证)将每个职位做成肩章,如带有“三年二班班长”字样的班长肩章(–kubeconfig对应的文件),并规定戴上肩章的人才有肩章对应的权利而忘戴则没有。肩章的制作过程首先需要班主任写好带有职务名(写有K8s集群用户readonly的readonly.json文件)和职务有效期等信息(写有过期时间的ca配置文件ca-config-readonly.json)的两个文件,之后班主任使用班级公章(ca根证书和私钥)和写好的两个文件(两个json)通过计算机算法得到用于证明肩章有效的文件(readonly.pem客户端证书,用于K8s的解密认证)和另一个文件(readonly-key.pem客户端私钥,实在编不出来了。。。)。之后将班级公章(ca.pem/ca-key.pem或ca.crt/ca.key:CA根证书和CA私钥)和证明肩章有效的两个文件(readonly.pem/readonly-key.pem:客户端证书和客户端私钥)提交至班级系统里,从而注册班长职务并备注过期时间等信息。学校获取到班长职务信息后,要求班主任提供肩章样式(context上下文),再根据职务名(K8s集群User用户名)和样式制作出肩章(–kubeconfig指定的文件)并返回给班主任
  3. (K8s RBAC权限控制)
    班级中除班主任外还有一些助教,其中助教小明经班主任任命得到了“三年二班班长”肩章,只要他(Linux系统用户)戴着写有“三年二班班长”(K8s集群User用户)字样的肩章(kubectl时指定–kubeconfig),他就对班级中的同学(集群资源对象如pod)有权利检查着装(Role/ClusterRole)。某天助教小明忘戴了班长肩章(未指定–kubeconfig),则班级就不认可(认证失败)他的任何权利。若班主任(运维工程师)将助教小明的工作服上均印有“三年二班班长”字样的班长肩章(将kubeconfig文件cp为/home/xiaoming/.kube/config),则即使小明忘戴,依然有班长的默认权利(–kubeconfig默认路径为/home/$USER/.kube/config)

三. 具体操作:

  1. 安装cfssl和cfssljson工具用于生成证书
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
  1. 使用集群CA自签名证书生成client证书和client私钥
mkdir /tmp/test && cd /tmp/test				# 在master上操作
cp /etc/kubernetes/ssl/ca.pem ./			# 可以通过ps -ef |grep kube-apiserver |grep ca来获取--client-ca-file路径,ca.pem也可以是ca.crt
cp /etc/kubernetes/ssl/ca-key.pem ./		# 路径同上,ca-key.pem也可以是ca.key
  1. 新增用于生成Client证书的Json文件,其中声明了User相关信息
vim readonly.json				# 可以基于已有用户如admin.json进行修改
	{
	  "CN": "readonly",			# 证书中记录的k8s集群User用户名,需要与后续集群添加用户(set-credentials)相同
	  "hosts": [],
	  "key": {
		"algo": "rsa",
		"size": 2048
	  },
	  "names": [
		{
		  "C": "CN",
		  "ST": "HangZhou",					# 随意填写
		  "L": "HangZhou",					# 随意填写
		  "O": "develop:readonly",			# 随意填写
		  "OU": "develop"					# 随意填写
		}
	  ]
	}
  1. 新增用于生成Client证书的Json文件,包含有效期等信息
vim ca-config-readonly.json
{
	"signing": {
		"default": {
			"expiry": "87600h"
		},
		"profiles": {
			"kubernetes": {
				"usages": [
					"signing",
					"key encipherment",
					"server auth",
					"client auth"
				],
				"expiry": "87600h"
			}
		}
	}
}
  1. 创建readonly用户Client证书和Client私钥
sudo cfssl gencert --ca ca.pem --ca-key ca-key.pem --config ca-config-readonly.json --profile=kubernetes readonly.json | cfssljson --bare readonly
# 当前目录下会生成readonly.csr、readonly.pem证书和readonly-key.pem私钥文件用于添加K8s集群User用户
  1. 基于已有kubeconfig文件添加新K8s集群User及Context信息
cp  /root/.kube/config  ./readonly.kubeconfig		# 也可以从之前获取到的目录找到当前集群中已有的conf,如admin.conf
  1. 新增环境准备脚本
vim kubeconfig.sh
#!/bin/bash
	# 添加readonly至K8s集群User用户中,这里readonly必须跟制作证书阶段Json文件中的CN保持一致,否则最终kubectl将无任何权限
	kubectl config set-credentials readonly \
		--certificate-authority=/tmp/test/ca.pem \						# CA根证书
		--embed-certs=true \
		--client-key=/tmp/test/readonly-key.pem \						# Client私钥
		--client-certificate=/etc/kubernetes/pki/test/readonly.pem \	# Client证书
		--kubeconfig=/etc/kubernetes/pki/test/readonly.kubeconfig		# kubeconfig文件

	kubectl config set-context readonly-context --cluster=kubernetes \	# set-context后为新增上下文名,最好创建之前通过kubectl config get-contexts查看已有上下文避免冲突
		--user=readonly \												# 添加readonly用户的上下文并保存至readonly.kubeconfig中
		--kubeconfig=readonly.kubeconfig

	kubectl config use-context readonly-context --kubeconfig=readonly.kubeconfig	# 切换kubeconfig证书中的上下文,由admin切换至readonly-context

sh kubeconfig.sh
  1. 创建ClusterRole,并通过ClusterroleBinding将名为readonly-clusterrole的ClusterRole与名为readonly的K8s集群User用户绑定(也可以使用已有clusterrole----view)
vim clusterrole_and_binding.yaml
	apiVersion: rbac.authorization.k8s.io/v1beta1
	kind: ClusterRole
	metadata:
	  name: readonly-clusterrole			#添加名为readonly-clusterrole的clusterrole资源对象
	rules:
	- apiGroups:
	  - ""
	  resources:
	  - pods
	  - pods/attach
	  - pods/exec
	  - pods/portforward
	  - pods/proxy
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - ""
	  resources:
	  - configmaps
	  - endpoints
	  - persistentvolumeclaims
	  - replicationcontrollers
	  - replicationcontrollers/scale
	  - secrets
	  - serviceaccounts
	  - services
	  - services/proxy
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - ""
	  resources:
	  - bindings
	  - events
	  - limitranges
	  - namespaces/status
	  - pods/log
	  - pods/status
	  - replicationcontrollers/status
	  - resourcequotas
	  - resourcequotas/status
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - ""
	  resources:
	  - namespaces
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - apps
	  resources:
	  - deployments
	  - deployments/rollback
	  - deployments/scale
	  - statefulsets
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - autoscaling
	  resources:
	  - horizontalpodautoscalers
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - batch
	  resources:
	  - cronjobs
	  - jobs
	  - scheduledjobs
	  verbs:
	  - get
	  - list
	  - watch
	- apiGroups:
	  - extensions
	  resources:
	  - daemonsets
	  - deployments
	  - ingresses
	  - replicasets
	  verbs:
	  - get
	  - list
	  - watch
	---
	apiVersion: rbac.authorization.k8s.io/v1beta1
	kind: ClusterRoleBinding
	metadata:
	  name: cluster-readonly						# 添加名为cluster-readonly的clusterrolebinding资源对象
	roleRef:
	  apiGroup: rbac.authorization.k8s.io
	  kind: ClusterRole					
	  name: readonly-clusterrole					# 将名为readonly-clusterrole的Clusterrole与名为readonly的K8s User进行绑定
	subjects:
	- apiGroup: rbac.authorization.k8s.io
	  kind: User
	  name: readonly

kubectl apply -f clusterrole_and_binding.yaml
  1. 验证通过指定存有readonly-context上下文和readonly集群用户的kubeconfig文件,能否访问node和pod
kubectl --kubeconfig=readonly.kubeconfig get nodes						# 被拒绝,权限不够
kubectl --kubeconfig=readonly.kubeconfig get nodes -n kube-system		# 可以获取
kubectl --kubeconfig=readonly.kubeconfig delete pods xxx -n kube-system	# 被拒绝,权限不够
  1. Linux用户的权限限制
# 以Linux中已有的test用户为例:
mkdir -p /home/test/.kube/ && cp /tmp/test/readonly.kubeconfig /home/test/.kube/config	# 设置为默认kubeconfig路径及文件名
chown -R test:test /home/test/.kube/
su - test
kubectl get pods -nkube-system	# 可以获取
kubectl get nodes 				# 获取失败
shelter陈
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubernetes创建只读用户
等风来也chen
04-15 1090
The One Way kubernetes中有一个默认的的clusterrole:view。它就是一个只有只读权限的角色。进行查看kubectl describe clusterrole view,显示结果如下: [centos@aaa test]$ sudo kubectl describe clusterrole view Name: view Labels: k...
Kubernetes学习笔记(四):持久化存储与安全认证
hxt的博客
03-12 1032
一、持久化存储 容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,Kubernetes引入了Volume的概念 Volume是Pod中能够被多个容器访问的共享目录,它被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下,Kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命容器不与Pod中单个容器的生命周期相关,当
kubernetes实战篇之创建一个只读权限用户
weixin_30881367的博客
07-03 255
系列目录 上一节我们讲解到了如何限制用户访问dashboard的权限,这节我们讲解一个案例:如何创建一个只读权限用户. 虽然可以根据实际情况灵活创建各种权限用户,但是实际生产环境中往往只需要两个就行了一个是前面创建的拥有集群所有权限用户,另一个是一个拥有只读权限的普通用户.把只读权限分配给开发人员,使得开发人员也可以很清楚地看到自己的项目运行的状况. 在进行本章节之前,大家可以思考一下怎么...
DCOS之K8S的volumes
公众号
02-27 3682
PS:转载之ceph集群对接k8s docker本身设计之初是用来执行一个app,抑或是一个应用程序,在其运行结束后,将销毁一切数据,但是这明显不是我们想要的,docker也 想到了这个,因此其本身提供一个-v的参数,用来将外部的存储挂载到container中,用来保存我们的持久化的数据。kubernetes最为其集群 管理工具,自然也想到了这些,而且还提供了更强大的功能,基于其插件化的设计,ku
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3055
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
k8s存储类型详解
weixin_47019016的博客
12-20 5892
k8s存储一、k8s存储类型简介二、PV和PVC相关介绍三、pv的空间回收策略验证四、pv和pvc的运用示例 一、k8s存储类型简介 1.类比docker的存储类型 回顾docker的数据持久化。 docker的容器层可以提供存储:存储在可写层(CopyOnWrite) docker的数据持久化解决方案: data volume---->1、bind mount 2、docker manager volume 其实两者没有什么显著差别,不同点在于是否需要提前准备dockerHost上的相关文件或目录
kubernetes创建只具有只读权限的账号
qq_37256882的博客
12-20 593
日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。本文创建一个只具有只读权限ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限
配置普通linux平台用户访问k8s集群
xhredeem的博客
01-28 942
配置普通linux用户访问k8s集群
K8S资源对象kube-state-metrics监控模板
01-05
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537
K8S创建用户账号User Account并赋予权限
06-12
K8S创建用户账号User Account并赋予权限
K8S资源对象监控kube-state-metrics-2.0.0镜像及资源清单文件
12-22
原文链接:https://blog.csdn.net/m0_37814112/article/details/122041607 说明:K8S资源对象监控kube-state-metrics-2.0.0镜像文件及资源清单文件
K8S1.20.6资源对象监控kube-state-metrics-2.0.0镜像及资源清单文件
12-28
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537
K8S用户权限管理工具permission-manager-v1.6.0
12-13
原文链接:https://blog.csdn.net/m0_37814112/article/details/121826977
k8s学习总结(五)
haiziccc的专栏
03-04 702
pod yaml解析 apiVersion: v1    #必选,版本号,例如v1,版本号必须可以用 kubectl api-versions 查询到 kind: Pod        #必选,Pod metadata:        #必选,元数据 name: string    ...
k8s volume
qq_39122387的博客
12-07 212
k8s 中的 volume 以及常用类型做了介绍。
Linux权限管理(初学者必备)
qq_56999918的博客
03-22 7658
1.Linux下的用户 linux下有两种用户:即超级用户(root)和普通用户。 1.超级用户:可以再linux系统下做任何事情,不受限制在linux下做有限的事情命令提示符是"#”。 2.普通用户:普通用户权限就没有超级用户那么高会受到限制 .普通用户的命令提示符是"$”。 如图所示:普通用户 超级用户: 超级用户和普通用户之间切换可以使用su 或者su-实习普通用户和超级用户之间的切换。超级用户切换为普通用户不需要密码,普通用户切换为超级用户需要超...
K8S集群建立只读权限帐号
weixin_33935777的博客
11-12 723
参考URL: https://www.jianshu.com/p/a1a0d64f1245 https://mritd.me/2018/03/20/use-rbac-to-control-kubectl-permissions/ https://studygolang.com/articles/11730?fr=sidebar   公司的k8s集群里的运维用户是为k8s的运维同事增加的。...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2041
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
docker login/pull报错x509: ... Common Name matching with GODEBUG=x509ignoreCN=0
weixin_40930677的博客
11-12 3517
背景: k8s集群扩容节点,扩容完成后发现节点daemonset启动失败,报错ImagePullBackOff,镜像拉取失败 排查: 登录扩容主机尝试手动docker login私有仓库地址 docker login --username=xxxx hub.xxx.com.cn # 登录仓库 > Error response from daemon: Get "https://hub.xxx.com.cn/v2/": x509: certificate relies on legacy Commo
k8s资源对象有哪些?说一下
最新发布
07-07
Kubernetes中的资源对象指的是Kubernetes集群中可被管理和调度的基本单元。以下是Kubernetes资源对象的一些常见类型: 1. Pod:Kubernetes中最小的可部署单元,通常包含一个或多个容器。 2. Service:用于将网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值