k8s创建普通用户

最新推荐文章于 2024-08-17 13:16:11 发布
最新推荐文章于 2024-08-17 13:16:11 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: k8s 文章标签: k8s user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42758299/article/details/120993503
版权
本文介绍了如何在Kubernetes中创建私钥、CSR(证书签名请求),并详细阐述了创建CSR的步骤,包括使用openssl生成私钥和CSR,以及创建和审批CSR的过程。接着,讲解了如何将证书应用于Kubernetes的角色和角色绑定,以实现用户访问权限的控制,并指导如何将新用户添加到kubeconfig文件中,确保用户能够安全地访问集群资源。
摘要由CSDN通过智能技术生成

创建私钥 

        下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。

  • CN : common name  名字
  • O : orgnization 组
openssl genrsa -out myuser.key 2048
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo"

创建 CertificateSigningRequest 

        创建一个 CertificateSigningRequest,并通过 kubectl 将其提交到 Kubernetes 集群
k8s-v1.15.1的yaml文件如下,其他版本可先用kubectl api-versions查询一下,往上的版本apiVersion应为certificates.k8s.io/v1,然后需要加上signerName

apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: myuser
spec:
  groups:
  - system:authenticated
  request: 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
  #signerName: kubernetes.io/kube-apiserver-client
  usages:
  - client auth

需要注意的几点:
usage 字段必须是 'client auth'
request 字段是 CSR 文件内容的 base64 编码值。 要得到该值,可以执行命令 cat myuser.csr | base64 | tr -d "\n"。

应用到集群

kubectl apply -f myuser.yaml

批准证书签名请求 

获取 CSR 列表:

kubectl get csr

批准 CSR:

kubectl certificate approve myuser

取得证书 

从 CSR 取得证书:

kubectl get csr/myuser -o yaml

证书的内容使用 base64 编码,存放在字段 status.certificate。

从 CertificateSigningRequest 导出颁发的证书

kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

创建角色和角色绑定

创建了证书之后,为了让这个用户能访问 Kubernetes 集群资源,现在就要创建 Role 和 RoleBinding 了。

下面是为这个新用户创建 Role 的示例脚本:

kubectl create role developer --verb=create --verb=get --verb=list --verb=update --verb=delete --resource=pods

下面是为这个新用户创建 RoleBinding 的示例命令:

kubectl create rolebinding developer-binding-myuser --role=developer --user=myuser

添加到 kubeconfig 
最后一步是将这个用户添加到 kubeconfig 文件。

首先,我们需要添加新的凭据:

kubectl config set-credentials myuser --client-key=myuser.key --client-certificate=myuser.crt --embed-certs=true

然后,你需要添加上下文:

首先需要查询集群名称:

kubectl config get-clusters

NAME
cluster.local

添加上下文: 

kubectl config set-context myuser --cluster=cluster.local --user=myuser

来测试一下,把上下文切换为 myuser:

kubectl config use-context myuser

kubectl config的其他命令可用--help查看
 

kubectl config --help
Modify kubeconfig files using subcommands like "kubectl config set current-context my-context"

 The loading order follows these rules:

  1.  If the --kubeconfig flag is set, then only that file is loaded. The flag may only be set once and no merging takes
place.
  2.  If $KUBECONFIG environment variable is set, then it is used as a list of paths (normal path delimiting rules for
your system). These paths are merged. When a value is modified, it is modified in the file that defines the stanza. When
a value is created, it is created in the first file that exists. If no files in the chain exist, then it creates the
last file in the list.
  3.  Otherwise, ${HOME}/.kube/config is used and no merging takes place.

Available Commands:
  current-context 显示 current_context
  delete-cluster  删除 kubeconfig 文件中指定的集群
  delete-context  删除 kubeconfig 文件中指定的 context
  get-clusters    显示 kubeconfig 文件中定义的集群
  get-contexts    描述一个或多个 contexts
  rename-context  Renames a context from the kubeconfig file.
  set             设置 kubeconfig 文件中的一个单个值
  set-cluster     设置 kubeconfig 文件中的一个集群条目
  set-context     设置 kubeconfig 文件中的一个 context 条目
  set-credentials 设置 kubeconfig 文件中的一个用户条目
  unset           取消设置 kubeconfig 文件中的一个单个值
  use-context     设置 kubeconfig 文件中的当前上下文
  view            显示合并的 kubeconfig 配置或一个指定的 kubeconfig 文件

Usage:
  kubectl config SUBCOMMAND [options]

Use "kubectl <command> --help" for more information about a given command.
Use "kubectl options" for a list of global command-line options (applies to all commands).

参考

证书签名请求 | Kubernetes

用户认证 | Kubernetes

K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
12-12 3万+
🔴 K8s(二):集群部署----->超详细
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3909
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
创建k8s普通用户
Dang_Ni的博客
08-04 301
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
【Kubernetes】k8s user类型账号的config文件创建
最新发布
K_sir666的博客
08-17 761
kubectl是 Kubernetes 命令行工具,用于与 Kubernetes 集群进行交互。它允许用户执行各种操作,如部署应用、管理资源、查看集群状态等。–server可以通过命令查看集群API地址的这个命令执行后config文件已生成(kube-dev.config)
k8s普通账号建立
cloud_engineer的博客
06-10 1309
本博客将创建一个用户devuser(自定义)只能管理demo空间
k8s 创建普通用户使用
weixin_42562106的博客
11-09 589
【代码】k8s 创建普通用户使用。
k8s创建用户账号——User Account
码农崛起
08-17 3396
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独
k8s-身份认证与权限
Mclaughling的博客
10-28 4814
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
K8S--权限管理RBAC/基于kube-config文件登录
weixin_44515412的博客
07-04 280
扩展:RBAC RBAC是基于角色的访问控制(Role-Based Access Control) https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/ #使用RBAC鉴权 https://kubernetes.io/zh/docs/reference/access-authn-authz/authorization/ #鉴权概述
MySQL的持久化部署(k8s与NFS)
01-07
Mysql部署 关于持久化部署mysql数据库 mysql数据库如果简单地部署在k8s集群上,当pods重启时,数据可能会造成丢失,经过查找资料,发现通过PV和PVC可以进行一个持久化的部署。...PVC 通常由普通用户创建和维
Kubernetes — 创建普通用户
李少侠
04-13 638
文章目录创建私钥创建CSR批准证书签名请求获取证书绑定角色添加到kubeconfig 创建私钥 openssl genrsa -out kevin.key 2048 openssl req -new -key kevin.key -out kevin.csr 创建CSR cat <<EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest metadata:
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 603
【代码】K8S创建用户账号User Account并赋予权限。
k8s怎么创建管理员用户
weixin_35750483的博客
01-23 684
在 Kubernetes 集群中创建管理员用户的方法有多种,其中一种是通过 kubeadm 工具来创建。使用 kubeadm 创建的用户默认拥有 cluster-admin 权限。 创建管理员用户的证书和私钥: openssl genpkey -out admin-key.pem -aes256 -algorithm rsa -pkeyopt rsa_keygen_bits:4096 opens...
K8S-Dashboard安装并创建普通用户
crabdave的博客
05-05 778
K8S-Dashboard安装并创建普通用户
k8s集群配置普通用户权限
jingleli21的博客
05-23 680
因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建。resources: ["pods","pods/log","deployments"] #*表示所有资源。:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。:负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作。- apiGroups: ["*"] # "" 表示所有api组。name: lyj # "name" 是区分大小写的。
K8S集群 - 创建用户访问授权
caryeko的专栏
07-29 141
创建一个用户信息:create-account.yaml。用户信息绑定权限:rule-binding.yaml。
K8S用户管理体系介绍
singless的博客
08-17 1461
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。userk8s的管理人员使用的账户,也就是我们使用的账户。
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2107
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值