K8S--权限管理RBAC/基于kube-config文件登录

已于 2022-09-14 09:13:57 修改
阅读量234 收藏
点赞数
分类专栏: Linux k8s 文章标签: kubernetes
于 2022-07-04 09:56:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44515412/article/details/125594097
版权

一、RBAC-不同项目的权限管理:

RBAC是基于角色的访问控制(Role-Based Access Control)
https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/ #使用RBAC鉴权
https://kubernetes.io/zh/docs/reference/access-authn-authz/authorization/ #鉴权概述
https://kubernetes.github.io/ingress-nginx/deploy/rbac/ #ingress中的rbac

1.1:在指定namespace创建账户:
# kubectl create serviceaccount magedu -n  magedu

1.2:创建role规则:
# kubectl apply  -f magedu-role.yaml 

# cat magedu-role.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: magedu
  name: magedu-role
rules:
- apiGroups: ["*"]
  resources: ["pods","pods/exec"]
  verbs: ["*"]
  ##RO-Role
  #verbs: ["get", "watch", "list"]
- apiGroups: ["extensions", "apps/v1"]
  resources: ["deployments"]
  verbs: ["get",
最低0.47元/天 解锁文章
哈密瓜小贼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube-flannel.yml
08-11
apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: flannel rules: - apiGroups: ['extensions'] resources: ['podsecuritypolicies'] verbs: ['use'] resourceNames: ['psp.flannel....
实战:k8s中基于角色的权限访问控制-RBAC(成功测试-博客输出)-20211005
weixin_39246554的博客
10-05 498
目录 文章目录目录写在前面基础知识介绍实验环境实验软件老师原课件内容1.、用K8S CA签发客户端证书2. 生成kubeconfig授权文件3. 创建RBAC权限策略4.指定kubeconfig文件测试权限5.现在这个小伙子技术差不多了,该如何给他放大权限呢?6.此时,这个小伙子就可以欢乐去使用k8s集群了总结 写在前面 本文,我将带你实战演示k8s中基于角色的权限访问控制-RBAC实验。 我的博客主旨:我希望每一个人拿着我的博客都可以做出实验现象,先把实验做出来,然后再结合理论知识更深层次去理解技术点,.
基于RBACk8s用户授权示例
Sebastien23的博客
01-01 700
的资源属于核心API组。Service与Pod同属于核心API组。可以看出,mckinsey用户对Pod资源有读权限,对其他资源(例如Deployment)没有读权限。中的server,就可以通过mckinsey用户的权限来访问Kubernetes集群资源。目前mckinsey用户对Pod只有读权限。为mckinsey用户创建并绑定RBAC权限策略,这里仅授予对Pod的读权限。RoleBinding可以将Role中定义的权限赋予一个用户或者一组用户。则用于生成用户mckinsey的CA证书签名请求,其中。
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 7116
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用kubectl默认会从$HOME/.kube目录下查找文件名为config文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
k8s--基础--23.6--认证-授权-准入控制--通过kubeconfig登陆dashboard
zhou920786312的博客
08-15 1098
将zhoufei-admin-token-gz57x转为json,并获取json中的token,并将token按照base64解密。浏览器访问时使用kubeconfig认证,把刚才的zhoufei-admin.conf导入到web界面,那么就可以登陆了。获取名称为zhoufei-admin-token-gz57x的secret。表示设置集群的名字为kubernetes。以下步骤在k8s的master节点操作。kubeconfig文件的保存路径。表示创建kubeconfig文件。上面就是刚刚我们设置的内容。.
Kuberneteskuberconfig--普通用户授权kubernetes集群
saynaihe的博客
10-10 1333
背景: 是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig
k8s中部署prometheus的镜像
最新发布
03-23
为了监控Kubernetes集群自身,还需要安装Prometheus的Kubernetes Exporter,如kube-state-metrics,它暴露了有关k8s对象状态的指标。 五、集成Grafana Prometheus的数据可以通过Grafana进行可视化展示,部署Grafana...
kube-thanos:用于部署Thanos的Kubernetes特定配置
02-03
Kubernetes(简称 k8s)是Google 开源的一个容器编排系统,它使得在集群上管理和运行容器化应用变得更加容易。 标题" kube-thanos:用于部署Thanos的Kubernetes特定配置 "表明我们要讨论的是如何在 Kubernetes 集群...
权限管理器:权限管理器是一个使Kubernetes RBAC和用户管理,Web UI FTW变得理智的项目
02-03
使用权限管理器,您可以通过一个简洁的Web UI创建用户,分配名称空间/权限以及分发Kubeconfig YAML文件。 屏幕截图 第一页 创建一个用户 创建用户-摘要 用户的Kubeconfig * 安装 要在群集上部署和运行权限管理器...
k8s-51cto-kubeadm部署k8s1.13.0-笔记总结
06-28
Kubernetes,简称K8s,是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。本文将深入探讨使用kubeadm工具在本地环境部署Kubernetes集群1.13.0版本的过程,这是一项对于运维人员至关重要...
k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限
zhou920786312的博客
08-15 370
代码】k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限。
K8S RBACKubeconfig设置用户权限,不同的用户访问不同的namespace
red_sky_blue的专栏
05-30 1587
检查证书是否存在。
k8s rbac 权限管理控制创建过程+理论知识
不忘初心,方得始终
01-17 601
前言现在RBAC主要解决的一个问题,就是:所有人都拿的是admin的config文件,因此所有人都拥有最高权限,他可以为所欲为,从而很有可能在不知情的情况下,破坏k8s集群。因此我们需要对其进行控制,给他创建admin之外的账号,让他无法操作k8s系统重要部分的namespace。 先不说原理,直接说操作步骤 一、创建证书创建user私钥 [root@node-01 ~]cd /etc/kuber......
K8s手工创建kubeconfig
小单的博客专栏
02-14 2009
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用
Java操作k8s api示例:使用kubeconfig文件认证;获取所有pod;获取pod内应用容器的启动日志
学亮编程手记
09-06 4717
因为华为云通过 ak , sk 再加 Kubernetes Api 请求地址。我这边仅需发起 HTTPS 请求就行。以至于对接阿里云还需要使用 Kubernetes 的 SDK 有些抗拒。还要载入 kubeconfig 文件。最后不想学阿里云例子通过调用系统命令 curl。所以还是使用了,结果第一次使用就报 NoSuchMethodError kotlin.collections.ArraysKt.copyInto([B[BIII)[B 这个错误,一看报没方法错误,赶紧看下 Mavne 引入的依赖版本。
【多用户】k8s多用户配置 kubeconfig
叮当猫的喵i
09-29 1304
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
k8skubeconfig的配置以及使用详解
墨鸦的博客
08-03 8557
k8skubeconfig的配置以及使用详解
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 9070
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
带你玩转k8s -使用Kubeconfig 登录
lxy___的博客
04-24 3849
1、生成 token(权限小于超级管理员权限) kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}') 下面就是我们的需要的token 2、配置kubeconfig文件 vim /root/.kube/config 将...
namespace/kube-flannel created clusterrole.rbac.authorization.k8s.io/flannel created clusterrolebinding.rbac.authorization.k8s.io/flannel created serviceaccount/flannel created configmap/kube-flannel-cfg created daemonset.apps/kube-flannel-ds created
07-11
这些命令是在 Kubernetes 中创建 Flannel 网络插件所需的资源。以下是每个资源的解释: 1. namespace/kube-flannel: 创建一个名为 "kube-flannel" 的命名空间,用于隔离 Flannel 相关的资源。 2. clusterrole.rbac.authorization.k8s.io/flannel: 创建一个名为 "flannel" 的 ClusterRole,定义了 Flannel 所需的权限。 3. clusterrolebinding.rbac.authorization.k8s.io/flannel: 创建一个名为 "flannel" 的 ClusterRoleBinding,将 ClusterRole "flannel" 绑定到默认的 serviceaccount/flannel。 4. serviceaccount/flannel: 创建一个名为 "flannel" 的 ServiceAccount,用于授权 Flannel 访问 Kubernetes API。 5. configmap/kube-flannel-cfg: 创建一个名为 "kube-flannel-cfg" 的 ConfigMap,包含 Flannel 配置信息。 6. daemonset.apps/kube-flannel-ds: 创建一个名为 "kube-flannel-ds" 的 DaemonSet,它确保在每个节点上运行一个 Pod,该 Pod 包含 Flannel 容器和所需的网络配置。 这些资源的创建是为了在 Kubernetes 集群中部署和配置 Flannel 网络插件,以提供集群内部的网络通信和跨节点的 Pod 互联。通过这些资源的创建,Flannel 将在每个节点上自动部署并配置网络功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值