K8S -- kubernetes集群权限之Cluster、 User和Context

最新推荐文章于 2024-07-01 10:37:51 发布
置顶 最新推荐文章于 2024-07-01 10:37:51 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42072289/article/details/105594071
版权

K8S -- kubernetes集群权限之Cluster、 User和Context

		使用k8s的小伙伴,对k8s用户权限管理可能有很多困惑,如何建立外部用户,并赋予k8s的访问权限,对很多开发者来说,是非常困惑的。
	下面,本人以jerry用户的创建为例,为linux系统中的k8s-jerry用户配置k8s集群管理权限。
	注意: 此处配置的k8s-jerry用户为linux系统用户; 而jerry用户为k8s集群中对应的用户。

一、生成user用户证书

(1)生成私钥
(umask 077; openssl genrsa -out jerry.key 2048)
(2)生成证书请求
openssl req -new -key jerry.key -out jerry.csr -subj "/CN=jerry"

如果定义组,则组可以作为权限分配的主体,比如:
openssl req -new -key jerry.key -out jerry.csr -subj "/CN=jerry/O=jerry-admin”

角色授权绑定文件可以定义如下:
subjects:

  • apiGroup: rbac.authorization.k8s.io
    kind: Group
    name: jerry-admin
(3)生成证书,并用服务端CA签署
  openssl x509 -req  -in jerry.csr -CA /etc/kubernetes/pki/ca.crt  -CAkey /etc/kubernetes/pki/ca.key  -CAcreateserial -out jerry.crt -days 365
(4)查看证书
  openssl x509 -in jerry.crt -text  -noout

二、建立集群、用户和上下文

  export KUBE_APISERVER="https://172.16.1.101:6443"
(1)产生集群配置文件
 kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true --server=${KUBE_APISERVER} --kubeconfig=kube-config

注意:
使用ca.crt证书,作为集群授权证书
当前目录下生成kube-config配置文件

(2)生成集群用户
kubectl config set-credentials jerry --client-certificate=/root/kube-cluster/pki/jerry.crt --embed-certs=true --client-key=/root/kube-cluster/pki/jerry.key --kubeconfig=kube-config

注意:
1. 在kube-config集群配置文件中查看user 名为 jerry
2. 采用客户端证书和私钥

(3)建立基于集群和新用户的上下文
  kubectl config set-context jerry@kubernetes --cluster=kubernetes --user=jerry --kubeconfig=kube-config

注意: 上下文名称为 jerry@kubernetes
集群名称为kubernetes
用户名称为jerry

(4)使用新建设的集群上下文
   kubectl config use-context jerry@kubernetes --kubeconfig=kube-config

三、给jerry用户授予权限

(1)建立角色
  kubectl create role pods-reader  --verb=get,list,watch --resource=pods --dry-run -oyaml > role-demo.yaml

文件内容如下:
[root@master kube-cluster]# more role-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  creationTimestamp: null
  name: pods-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch
(2)将角色绑定到用户jerry
kubectl create rolebinding jerry-read-pods --role=pods-reader --user=jerry --dry-run -oyaml > jerry-read-pods.yaml

文件内容如下:
[root@master kube-cluster]# more jerry-read-pods.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  creationTimestamp: null
  name: jerry-read-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pods-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: jerry
(3)使用用户jerry测试
**<1>切换上下文**

  kubectl config use-context jerry@kubernetes --kubeconfig=kubeconf/kube-config

**<2>查看pods(有权)**

[root@master kube-cluster]# kubectl get pods --kubeconfig=kubeconf/kube-config
NAME                                      READY   STATUS             RESTARTS   AGE
nfs-client-provisioner-5584cd9578-fqbjg   1/1     Running            0          15h
test-pod                                  0/1     CrashLoopBackOff   176        15h
web-0                                     1/1     Running            0          13h
web-1                                     1/1     Running            0          13h

<3>查看deployment(无权限)

  kubectl get deployment --kubeconfig=kubeconf/kube-config

Error from server (Forbidden): deployments.apps is forbidden: User “jerry” cannot list resource “deployments” in API group “apps” in the namespace “default”

四、将linux系统用户k8s-jerry与k8s集群用户jerry相关联(不在需要kubeconfig文件了)

(1)建立系统用于k8s-jerry
  useradd k8s-jerry
  chown -R k8s-jerry.k8s-jerry /home/k8s-jerry
(2)将集群配置文件copy到系统用户k8s-jerry的默认目录下
[root@master kube-cluster]# ls
cluster-pods-reader.yaml  jerry-read-pods.yaml  kubeconf  pki  role-demo.yaml

[root@master kube-cluster]# cp kubeconf/kube-config /home/k8s-jerry/.kube/config
(3)切换成k8s-jerry用户,就可以访问k8s集群中jerry用户的有权访问的资源
[root@master kube-cluster]# su k8s-jerry

[k8s-jerry@master kube-cluster]$ kubectl get pods
NAME                                      READY   STATUS             RESTARTS   AGE
nfs-client-provisioner-5584cd9578-fqbjg   1/1     Running            0          15h
test-pod                                  0/1     CrashLoopBackOff   180        15h
web-0                                     1/1     Running            0          14h
web-1                                     1/1     Running            0          14h
阿段--曾经跑路的IT老炮
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S中的ServiceAccount和useraccount并配置私有仓库用户名密码Harbor拉取私有镜像
风水道人
09-06 431
K8S中的ServiceAccount和useraccount并配置私有仓库用户名密码Harbor拉取私有镜像
centos8.5 搭建k8s--1.23.1集群
唐顺才的博客
12-19 145
1、kubernetes安装介绍 1.1 K8S架构图 在这里插入图片描述 master节点用于管理整个k8s集群 slave节点用于运行容器 1.2 K8S搭建安装示意图 3种网络类型: host机网络,master用于管理k8s集群 pod网络,pod之间互相调用 service网络,对外提供服务 1.3 节点设置: 1 节点资源: 节点ip 节点角色 192.168.1.101 k8s-master 192.168.1.102 k8s-node1 192.168.1
kubernetes 主备集群部署
weixin_45054797的博客
01-03 544
kubernetes 安装 1 安装环境 # 操作系统版本 # cat /etc/redhat-release CentOS Linux release 7.8.2003 (Core) # 内核版本 # uname -a Linux master.k8s.com 3.10.0-1127.el7.x86_64 #1 SMP Tue Mar 31 23:36:51 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux 主机名 ip地址 master.ks.com 10.
k8s 系列之 user 的部署
qq_36465337的博客
03-22 574
在这之前我们已经部署完成了 eureka 和 gateway 这个时候我们需要去部署 用户模块和统一鉴权的auth 服务了 k8s 系列之 部署eureka集群 k8s 部署gateway 一 : 遇到问题 最明显的一个问题就是我们实际做开发的时候很肯能不会将数据库也虚拟化到自己的 容器服务当中 , 那么这个时候我们怎么来连接 数据库 或者是 缓存 和 搜索引擎之类的第三方服务呢 。 ...
K8s 权限管理详解
最新发布
民工哥的博客
07-01 252
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
k8s里面的用户
weixin_39833509的博客
04-23 380
according to thedocumentation Normal users are assumed to be managed by an outside, independent service. An admin distributing private keys, a user store like Keystone or Google Accounts, even a file with a list of usernames and passwords. In this regar.
K8S学习指南(37)-k8s权限管理对象User
俞兆鹏的博客
12-24 1137
通过本文,我们深入了解了Kubernetes权限管理对象用户的基本概念、创建方式,并通过详细的示例演示了如何手动创建用户,并为其配置访问权限用户的主要作用是在Kubernetes集群中唯一标识执行操作的实体,并通过与角色(Role)和角色绑定(RoleBinding)等进行关联,从而获取对资源的访问权限。在示例中,我们将演示如何手动创建一个用户,并将其与集群中的Role和RoleBinding关联,以实现对资源的访问权限。的用户,并指定了该用户的客户端证书和密钥。上述示例中,创建了一个名为。
(三)超详细纯手工搭建kubernetes(k8s)集群 - 认证授权和服务发现
devopser的博客
04-15 2838
1. 理解认证授权1.1 为什么要认证想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。防止什么问题呢?是防止有人入侵你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了。其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取,也可能会被第...
k8s集群namespace和context使用
skh2015java的博客
09-04 8084
1.kubeconfig文件 使用 kubeconfig 文件来组织有关集群用户、命名空间和身份认证机制的信息。kubectl 命令行工具使用 kubeconfig 文件来查找选择集群所需的信息,并与集群的 API 服务器进行通信。 注:用于配置集群访问的文件称为 kubeconfig 文件。这是引用配置文件的通用方法。这并不意味着有一个名为 kubeconfig 的文件 默认情况下,kubectl 在 $HOME/.kube 目录下查找名为 config 的文件。 您可以...
k8s集群部署篇】使用docker作为运行时部署Kubernetes集群
jks212454的博客
01-29 1615
k8s集群部署】使用docker作为运行时部署Kubernetes集群
[Kubernetes]1.Kubernetes(K8S)介绍,基于腾讯云的K8S环境搭建集群以及裸机搭建K8S集群
zhoupenghui168的博客
12-07 1610
Kubernetes(K8S)介绍,基于腾讯云的K8S环境搭建集群以及裸机搭建K8S集群
云计算虚拟化:k8s认证流程&用户&用户组&权限相关
dustzhu的博客
09-28 1667
一. 前言 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户/用户;前者由Kubernetes进行管理主要用于pod;后者由外部应用进行管理,主要是人 在安全方面,Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等, Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server
Kubernetes_认证授权_查看一个用户具有哪些权限(RBAC实践类)
毛毛的专栏
10-22 2613
查看一个用户具有哪些权限(RBAC实践类)
Kubernetes集群环境搭建(简单易懂)
weixin_44411385的博客
04-30 1765
本次Kubernetes集群环境搭建使用的是一主两从的环境,即一个master节点和两个node节点。准备好三台虚拟机。硬件环境的要求:CPU:2核;Memory:2G;软件环境的要求:使用CentOS 7版本的操作系统。
k8s设置多个Context环境
weixin_44770684的博客
04-19 1128
k8s k8s运行环境 k8s集群管理 k8s context k8s集群权限隔离
完整安装kubernetes集群环境(不需要科学上网)
yakax的博客
02-19 1847
1.准备基础环境 我们将使用kubeadm部署3个节点的 Kubernetes Cluster 节点详细信息: 节点主机名 节点IP 节点角色 操作系统 节点配置 k8s-master 192.168.217.131 master CentOS7.6 2C4G k8s-node1 192.168.217.132 node CentOS7.6 2C4G k8s-node2 1...
k8s查看用户的token并验证
牵着蜗牛_去散步
04-26 8763
kube-dns查看token serviceaccounts (aka 'sa') 查看账号 #查看所有账号 [root@docker176 kubernetes]# kubectl -n kube-system get sa NAME SECRETS AGE calico-cni-plugin 1 2d cal...
kubernetes-12 访问控制ServiceAccount、UserAccount、RBAC和服务账户的自动化
Ma_JunSSR的博客
08-08 401
1 .kubernetes API 访问控制 访问控制流程如下: 认证、授权和准入控制。 具体流程如下: Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。 通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。
Kubernetes详解(五十)——Kubernetes权限配置
永远是少年
05-09 1663
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值