k8s创建普通用户

最新推荐文章于 2024-05-15 09:43:15 发布
最新推荐文章于 2024-05-15 09:43:15 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: k8s 文章标签: k8s user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42758299/article/details/120993503
版权

创建私钥 

        下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。

  • CN : common name  名字
  • O : orgnization 组
openssl genrsa -out myuser.key 2048
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo"

创建 CertificateSigningRequest 

        创建一个 CertificateSigningRequest,并通过 kubectl 将其提交到 Kubernetes 集群
k8s-v1.15.1的yaml文件如下,其他版本可先用kubectl api-versions查询一下,往上的版本apiVersion应为certificates.k8s.io/v1,然后需要加上signerName

apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: myuser
spec:
  groups:
  - system:authenticated
  request: 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
  #signerName: kubernetes.io/kube-apiserver-client
  usages:
  - client auth

需要注意的几点:
usage 字段必须是 'client auth'
request 字段是 CSR 文件内容的 base64 编码值。 要得到该值,可以执行命令 cat myuser.csr | base64 | tr -d "\n"。

应用到集群

kubectl apply -f myuser.yaml

批准证书签名请求 

获取 CSR 列表:

kubectl get csr

批准 CSR:

kubectl certificate approve myuser

取得证书 

从 CSR 取得证书:

kubectl get csr/myuser -o yaml

证书的内容使用 base64 编码,存放在字段 status.certificate。

从 CertificateSigningRequest 导出颁发的证书

kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

创建角色和角色绑定

创建了证书之后,为了让这个用户能访问 Kubernetes 集群资源,现在就要创建 Role 和 RoleBinding 了。

下面是为这个新用户创建 Role 的示例脚本:

kubectl create role developer --verb=create --verb=get --verb=list --verb=update --verb=delete --resource=pods

下面是为这个新用户创建 RoleBinding 的示例命令:

kubectl create rolebinding developer-binding-myuser --role=developer --user=myuser

添加到 kubeconfig 
最后一步是将这个用户添加到 kubeconfig 文件。

首先,我们需要添加新的凭据:

kubectl config set-credentials myuser --client-key=myuser.key --client-certificate=myuser.crt --embed-certs=true

然后,你需要添加上下文:

首先需要查询集群名称:

kubectl config get-clusters

NAME
cluster.local

添加上下文: 

kubectl config set-context myuser --cluster=cluster.local --user=myuser

来测试一下,把上下文切换为 myuser:

kubectl config use-context myuser

kubectl config的其他命令可用--help查看
 

kubectl config --help
Modify kubeconfig files using subcommands like "kubectl config set current-context my-context"

 The loading order follows these rules:

  1.  If the --kubeconfig flag is set, then only that file is loaded. The flag may only be set once and no merging takes
place.
  2.  If $KUBECONFIG environment variable is set, then it is used as a list of paths (normal path delimiting rules for
your system). These paths are merged. When a value is modified, it is modified in the file that defines the stanza. When
a value is created, it is created in the first file that exists. If no files in the chain exist, then it creates the
last file in the list.
  3.  Otherwise, ${HOME}/.kube/config is used and no merging takes place.

Available Commands:
  current-context 显示 current_context
  delete-cluster  删除 kubeconfig 文件中指定的集群
  delete-context  删除 kubeconfig 文件中指定的 context
  get-clusters    显示 kubeconfig 文件中定义的集群
  get-contexts    描述一个或多个 contexts
  rename-context  Renames a context from the kubeconfig file.
  set             设置 kubeconfig 文件中的一个单个值
  set-cluster     设置 kubeconfig 文件中的一个集群条目
  set-context     设置 kubeconfig 文件中的一个 context 条目
  set-credentials 设置 kubeconfig 文件中的一个用户条目
  unset           取消设置 kubeconfig 文件中的一个单个值
  use-context     设置 kubeconfig 文件中的当前上下文
  view            显示合并的 kubeconfig 配置或一个指定的 kubeconfig 文件

Usage:
  kubectl config SUBCOMMAND [options]

Use "kubectl <command> --help" for more information about a given command.
Use "kubectl options" for a list of global command-line options (applies to all commands).

参考

证书签名请求 | Kubernetes

用户认证 | Kubernetes

whz-emm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 带你一步步 创建用户账号(User Account),入职阿里啦
2401_83739472的博客
04-15 932
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。[root@node-01 ~]# useradd jenkins #创建什么用户名都可以。
k8s 创建mysql的 全套yaml文件
04-13
k8s 创建mysql的 全套yaml文件
Kubernetes详解(五十一)——Kubernetes用户创建
永远是少年
05-09 2731
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes证书生成 二、Kubernetes用户创建
k8s 带你一步步 创建用户账号(User Account)
最新发布
2401_83739503的博客
05-15 338
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
k8s创建用户账号——User Account
热门推荐
cbmljs的博客
11-07 1万+
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
k8s普通账号建立
cloud_engineer的博客
06-10 1223
本博客将创建一个用户devuser(自定义)只能管理demo空间
高分通过kubernetes CKA秘籍
qq_51552268的博客
02-05 794
自己考完cka之后的笔记,有什么不懂之处,留言回答!
K8S创建用户账号User Account并赋予权限
06-12
K8S创建用户账号User Account并赋予权限
创建K8s节点的虚拟机
01-05
"创建K8s节点的虚拟机" 在本文中,我们将详细介绍如何创建K8s节点的虚拟机,包括虚拟机的创建、网络配置、操作系统安装等步骤。 虚拟机创建创建K8s节点的虚拟机之前,我们需要了解虚拟机的基本概念。虚拟机是...
使用Minikube创建K8S集群
01-26
使用Minikube创建K8S集群 Minikube是Kubernetes的本地开发环境,允许用户在本地轻松运行Kubernetes。 Minikube在笔记本电脑上的虚拟机(VM)中运行单节点Kubernetes集群,供那些希望尝试Kubernetes或进行日常开发的...
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2023
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
K8S 认证和授权
qq_39124041的博客
02-14 4460
k8s认证方式一般为token和kubeconfig
Kubernetes_认证授权_UserAccount_新建用户自定义x509客户端证书(实践类)
毛毛的专栏
10-22 420
新建用户账号UserAccount(实践类)
Kubernetes(K8S2020)从入门到实践(2)
02-17
Kubernetes,简称K8S,是一个开源,用于管理多个容器化的应用,提供了应用部署,规划,更新维护的一种机制。 学习要求: 本课程学习需要具有一定的Linux基础,并掌握Docker相关知识点。 知识讲解: 主要讲解K8S以下几个方面: 1.      K8S Pod相关知识 2.      K8S 控制器详解 3.      K8S 服务、Ingress和Metallb 4.      K8S的安全及用户管理 5.      K8S持久化存储 课件插图: 更多K8S课程: -  Kubernetes(k8s2020)从入门到实践(1) -  Kubernetes(k8s2020)从入门到实践(3)
K8s手工创建kubeconfig
小单的博客专栏
02-14 1967
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
K8S创建角色,并授权
wangmiaoyan的博客
10-14 6330
K8S的认证授权是基于插件的,目前用得最多的是RBAC,也就是基于角色的访问控制 k8s中有角色和角色绑定,因为K8S有两种资源,一种是集群资源,也就是cluster;一种是namespace资源;所以分别有role,rolebinding,clusterrole,clusterrolebinding.他们的区别在于作用域不同,cluster是针对整个集群资源的,而role则是限制在nam...
Kubernetes — 创建普通用户
李少侠
04-13 492
文章目录创建私钥创建CSR批准证书签名请求获取证书绑定角色添加到kubeconfig 创建私钥 openssl genrsa -out kevin.key 2048 openssl req -new -key kevin.key -out kevin.csr 创建CSR cat <<EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest metadata:
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7118
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
k8s 创建用户与用户组
09-20
在Kubernetes中,创建用户和用户组是通过创建Role和RoleBinding***(Organization)是该用户归属的组。然后,你可以使用kubectl命令创建RoleBinding来将角色绑定到用户。 下面是一个示例命令来生成PKI私钥和CSR,并创建RoleBinding: 1. 生成私钥和CSR: ``` openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" ``` 2. 创建CertificateSigningRequest: ``` kubectl create certificate signing request myuser-csr --signer=myuser.key --key=myuser.csr ``` 3. 创建RoleBinding: ``` kubectl create rolebinding developer-binding-myuser --role=developer --user=myuser ``` 以上步骤将创建一个名为developer-binding-myuser的RoleBinding,将developer角色绑定到用户名为myuser的用户上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值