k8s设置多个Context环境

已于 2023-04-20 10:06:36 修改
阅读量1k 收藏
点赞数 2
文章标签: kubernetes linux java
于 2023-04-19 13:19:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770684/article/details/130238429
版权

目录

目的

一、k8s创建Context运行环境

二、实际操作演示

三、将config发送到安装有kubectl命令行的指定客户端

目的

        配置个多个Context运行环境,既可以通过不同的运行环境来管理不同的k8s集群;同时也可以通过不同的Context运行环境实现权限的管理。

        这里我以同一个k8s集群设置不同的Context运行环境,并设置特定的权限,给相关的开发人员使用。给开发人员操作k8s集群的指定命名空间的指定资源,或者多个命名空间的指定资源。

一、k8s创建Context运行环境

1、创建deploy用户

                关键要点: 先生成私钥;再使用私钥并指定相关信息,生成请求文件;最后使用ca对请求文件完成ca自签,生成ca颁发的用户证书(ca为k8s集群的根证书和根私钥文件)

mkdir deploy 
cp /etc/kubernetes/pki/{ca.crt,ca.key} deploy/
cd deploy 
openssl genrsa  -out deploy.key 2048
openssl req -new -key deploy.key -out deploy.csr -subj "/O=kubernetes/CN=deploy"
openssl  x509 -req -in deploy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out deploy.crt -days 36500

       说明:

               CN=deploy 表示创建的认证用户为 deploy ,后续要使用该用户进行k8s权限绑定,是是否能通过认证的关键点

2、验证证书命令

# 验证生成的正式是否成功,输出 OK 表示证书创建成功可用
openssl verify -CAfile ca.crt deploy.crt

# 查看证书 内容 
openssl x509 -in deploy.crt -noout -text

3、k8s设置 context 运行环境

     将指定的deploy用户、指定的context和指定cluster绑定,建议指定新的kubeconfig文件为config,要不然会修改到默认的 kubeconfig文件;指定运行文件集群信息和用户认证信息(默认--kubeconfig=/root/.kube/config)

# 说明:--embed-certs=true 表示不在配置文件中显示证书信息;(--embed-certs为true表示将--certificate-authority证书写入到kubeconfig中)

kubectl config set-cluster deploy --server=https://lb.kubesphere.local:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=config
kubectl config set-credentials deploy --client-certificate=deploy.crt --client-key=deploy.key --embed-certs=true --kubeconfig=config
kubectl config set-context deploy --cluster=deploy --user=deploy --namespace=rc-saas --kubeconfig=config

4、切换contexts

        不切换contexts ,直接使用生成的kubecofnig文件会提示报错:The connection to the server localhost:8080 was refused

# 看看当前的 Context 运行环境
kubectl config get-contexts --kubeconfig=config

# 切换 Context运行环境为 前面设置的  deploy 运行环境
kubectl config use-context deploy --kubeconfig=config

5、验证运行环境

# 这个时候不成功是因为没有进行权限绑定,需要创建 role或者ClusterRole 并且进行权限绑定相应用户

kubectl get pod

6、创建集群角色或者角色,完成角色权限操作需求

        要点:创建角色或者集群角色,并指定指定资源的指定操作权限,并完成用户和角色绑定

# 创建 deploy-role角色,并且授权为可以执行rc-saas命名空间的 deployments 类型的资源的所有操作 

kubectl create role deploy-role --verb="*" --resource=deployments/"*"  -n rc-saas

# 将创建角色绑定;实现将 deploy 用户和 deploy-role 角色绑定 
# clusterrole 不区分命名空间,role: 区分命名空间,需要指定命名空间
kubectl create rolebinding deploy-rolebinding  --role=deploy-role --user=deploy -n rc-saas

7、拷贝新建的kubeconfig文件    

将在deploy目录下生成的的config文件复制到指定的安装有kubectl 的客户端

kubectl 只能操作绑定角色指定的资源和动作

如: 上边的角色资源包括了 命名空间 rc-saas 所有的资源操作,但是无法查看或者查看rc-saas命名空间之外的 资源。

二、实际操作演示

[root@master01 ~]# 
[root@master01 ~]# # 创建deploy目录
[root@master01 ~]# mkdir deploy 
[root@master01 ~]# 
[root@master01 ~]# # 将 k8s 的证书和私钥复制到deploy目录
[root@master01 ~]# cp /etc/kubernetes/pki/{ca.crt,ca.key} deploy/
[root@master01 ~]# 
[root@master01 ~]# # 创建deploy用户的私钥
[root@master01 ~]# cd deploy
[root@master01 deploy]# openssl genrsa  -out deploy.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
.................................+++
e is 65537 (0x10001)
[root@master01 deploy]# 
[root@master01 deploy]# # 创建deploy用户的请求文件
[root@master01 deploy]# openssl req -new -key deploy.key -out deploy.csr -subj "/O=kubernetes/CN=deploy"
[root@master01 deploy]# 
[root@master01 deploy]# # 使用 k8s ca证书和私钥签证,生成deploy可信的证书,证书过期时间为:36500天
[root@master01 deploy]# openssl  x509 -req -in deploy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out deploy.crt -days 36500
Signature ok
subject=/O=kubernetes/CN=deploy
Getting CA Private Key
[root@master01 deploy]# 
[root@master01 deploy]# # 校验生成的deploy;校验证书内容命令为:openssl x509 -in deploy.crt -noout -text;证书内容过长,这里不执行了 
[root@master01 deploy]# openssl verify -CAfile ca.crt deploy.crt
deploy.crt: OK
[root@master01 deploy]# 
[root@master01 deploy]# # 设置Context运行环境集群名为:deploy;请替换server为你的 kube-apiserver地址;kubeconfig文件名为:config
[root@master01 deploy]# kubectl config set-cluster deploy --server=https://lb.kubesphere.local:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=config
Cluster "deploy" set.
[root@master01 deploy]# 
[root@master01 deploy]# # 设置context运行环境用户,将deploy用户的证书和私钥 和 运行环境绑定
[root@master01 deploy]# kubectl config set-credentials deploy --client-certificate=deploy.crt --client-key=deploy.key --embed-certs=true --kubeconfig=config
User "deploy" set.
[root@master01 deploy]# 
[root@master01 deploy]# # 设置context运行环境信息:用户:deploy 集群cluster:deploy 默认命名空间:rc-saas
[root@master01 deploy]# kubectl config set-context deploy --cluster=deploy --user=deploy --namespace=rc-saas --kubeconfig=config
Context "deploy" created.
[root@master01 deploy]# 
[root@master01 deploy]# # 查看使用的当前context运行环境情况(由于还没切换,context为空)
[root@master01 deploy]# kubectl config get-contexts --kubeconfig=config
CURRENT   NAME     CLUSTER   AUTHINFO   NAMESPACE
          deploy   deploy    deploy     rc-saas
[root@master01 deploy]# 
[root@master01 deploy]# # 由于当前使用的context为空,使用kubectl 获取资源 会报错
[root@master01 deploy]# kubectl get po -n rc-saas --kubeconfig=config
The connection to the server localhost:8080 was refused - did you specify the right host or port?
[root@master01 deploy]# 
[root@master01 deploy]# # 切换当前使用context为deploy
[root@master01 deploy]# kubectl config use-context deploy --kubeconfig=config
Switched to context "deploy".
[root@master01 deploy]# 
[root@master01 deploy]# # 再次查看当前使用的context发现为deploy
[root@master01 deploy]# kubectl config get-contexts --kubeconfig=config
CURRENT   NAME     CLUSTER   AUTHINFO   NAMESPACE
*         deploy   deploy    deploy     rc-saas
[root@master01 deploy]#
[root@master01 deploy]# # 此时由于还没有绑定角色,会报错权限问题
[root@master01 deploy]# kubectl get deploy -n rc-saas --kubeconfig=config
Error from server (Forbidden): deployments.apps is forbidden: User "deploy" cannot list resource "deployments" in API group "apps" in the namespace "rc-saas"
[root@master01 deploy]# 
[root@master01 deploy]# # 创建 deploy-role 角色,并授权,资源类型为 deployments ,动作:所有动作,由于之前创建过了deploy角色,所有提示已存在deploy角色
[root@master01 deploy]# kubectl create role deploy-role --verb="*" --resource=deployments/"*"  -n rc-saas
Error from server (AlreadyExists): roles.rbac.authorization.k8s.io "deploy-role" already exists
[root@master01 deploy]# 
[root@master01 deploy]# # 角色绑定,由于我之前已创建了角色绑定所以提示已存在
[root@master01 deploy]# kubectl create rolebinding deploy-rolebinding  --role=deploy-role --user=deploy -n rc-saas
error: failed to create rolebinding: rolebindings.rbac.authorization.k8s.io "deploy-rolebinding" already exists
[root@master01 deploy]# 
[root@master01 deploy]# # 使用新建的context查看deploy资源
[root@master01 deploy]# kubectl -n rc-saas get deploy --kubeconfig=config 
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
azkaban-web                 1/1     1            1           22d
[root@master01 deploy]# 
[root@master01 deploy]# pwd
/root/deploy
[root@master01 deploy]# ls -l
总用量 32
-rw-r--r-- 1 root root 1099 4月  19 11:27 ca.crt
-rw------- 1 root root 1675 4月  19 11:27 ca.key
-rw-r--r-- 1 root root   17 4月  19 11:31 ca.srl
-rw------- 1 root root 5408 4月  19 11:50 config
-rw-r--r-- 1 root root 1005 4月  19 11:31 deploy.crt
-rw-r--r-- 1 root root  915 4月  19 11:29 deploy.csr
-rw-r--r-- 1 root root 1679 4月  19 11:29 deploy.key
[root@master01 deploy]#

三、将config发送到安装有kubectl命令行的指定客户端

[deploy@deploy ~]$ # 保证客户端要能访问到 kube-apiserver,默认端口6443  
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 穿件config存放目录
[deploy@deploy ~]$  mkdir -p ${HOME}/.kube
[deploy@deploy ~]$  
[deploy@deploy ~]$ # 复制config 到当前用户的 ${HOME}/.kube/ 目录
[deploy@deploy ~]$ ls -rtl ${HOME}/.kube/config
-rw-rw-r-- 1 deploy deploy 5404 4月   6 10:46 /home/deploy/.kube/config
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 由于 deploy用户拥有访问rc-saas 命名空间的 deployments资源,所以可以成功查看
[deploy@deploy ~]$ kubectl -n rc-saas get deploy|head -n 2
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
azkaban-web                 1/1     1            1           22d
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 由于deploy用户没有访问kube-system 的权限所以会提示 forbidden,实现了权限管理
[deploy@deploy ~]$ kubectl -n kube-system  get deploy
Error from server (Forbidden): deployments.apps is forbidden: User "deploy" cannot list resource "deployments" in API group "apps" in the namespace "kube-system"
[deploy@deploy ~]$ 
[deploy@deploy ~]$

@土豆
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过kubectx/kubens快速切换管理k8scontext和namespace
wanger5354的博客
01-02 1246
微信公众号:运维开发故事,作者:double冬 在使用kubectl操作kubernetes集群的过程中,可能会遇到需要操作不同集群的问题,例如本地的minikube集群和线上的部署集群,或是线上的测试集群和线上的部署集群,如果集群之间切换不频繁,也可以使用笨办法,比如准备多个config文件在/.kube文件夹下,要切换的时候就改config的名字,或者使用别名,不过对于需要频繁切换操作集群的人来说,这个方法显然太麻烦了,当然也不够cool。 当然,k8s是非常完善的集群解决方案,肯定是考虑到了这个问.
k8s集群namespace和context使用
skh2015java的博客
09-04 7928
1.kubeconfig文件 使用 kubeconfig 文件来组织有关集群、用户、命名空间和身份认证机制的信息。kubectl 命令行工具使用 kubeconfig 文件来查找选择集群所需的信息,并与集群的 API 服务器进行通信。 注:用于配置集群访问的文件称为 kubeconfig 文件。这是引用配置文件的通用方法。这并不意味着有一个名为 kubeconfig 的文件 默认情况下,kubectl 在 $HOME/.kube 目录下查找名为 config 的文件。 您可以...
k8s学习-CKS真题-Context安全上下文_cks security context
最新发布
2301_79054215的博客
04-17 370
二、不允许进程获得超出其父进程的特权(禁止 allowPrivilegeEscalation)按照如下要求修改 sec-ns 命名空间里的 Deployment secdep。一、用 ID 为 30000 的用户启动容器(设置用户 ID 为: 30000)三、以只读方式加载容器的根文件系统(对根文件的只读权限)
Kubernetes context 上下文配置
爱死亡机器人
03-16 4035
但是,要使用该命令,您需要在 kubeconfig 中配置上下文。如果你的集群有多个命名空间,就会出现另一个痛点:每次使用kubectl时都需要指定–namespace或-n。这允许您在配置文件中定义多个上下文,然后您可以将其用于定位多个 Kubernetes 集群,或具有不同用户集或命名空间的同一集群。如果您使用多个 Kubernetes 集群,当您从一个集群切换到另一个集群时,管理这样的配置文件很快就会变得很麻烦。假设您有两个集群,一个用于开发工作,一个用于测试工作。中,开发人员使用默认名称空间(
k8s 新建用户远程连接集群和context切换
jingzhiz 专属移动笔记
02-09 1309
一、kubectl 远程连接cluster 1、kubectlk8s的客户端程序,也是k8s的命令行工具,kubectl提供了大量的子命令可以让用户和集群进行交互。kubectl不一定部署在master上,也可以在内网的私人笔记本上,开发或者运维人员只有config文件和kubectl工具就可操作k8s集群。 2、默认情况下是默认连接本地的apiserver,也可以使用https连接集群。 一...
k8s集群部署之环境搭建
weixin_43834060的博客
06-22 812
一、k8s简介 k8sKubernetes的简称,它是容器集群管理系统,是一个开源的平台,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。通过Kubernetes可以实现快速部署应用,快速扩展应用,无缝对接新的应用功能以及节省资源,优化硬件资源的使用。 设计架构 Kubernetes集群包含有节点代理kubelet和Master组件(APIs, scheduler, etcd),一 切都基于分布式的存储系统。默认情况下master节点不参与调度,master节点上运行着很多的核心进程:调度,控制管理
K8S---namespaces和Context创建
liao__ran的博客
06-10 584
K8S namespace创建及隔离
部署Kubernetes(k8s)集群多节点环境
Viman的运维专栏
04-19 1135
Kubernetesk8s) 集群部署安装并通过kuboard的gui可视化工具管理集群
如何利用K8S全面拥抱微服务架构?
01-27
同时,K8S的权限管理、认证和鉴权机制,如OAuth服务器和Security Context Constraints (SCC),确保了企业级应用的安全性。此外,项目(Project)的概念提供了多租户隔离,包括权限、网络、路由和物理资源层面的隔离...
gk8s:脚本友好型工具,可与多个k8s集群一起使用
05-11
脚本友好型工具可与多个k8s集群一起使用,能够提供简洁的方式来编写系统文档,避免人为错误并最终改善团队沟通和工作。 主意 已知方式 $ export KUBECONFIG=~/.kube/config:~/.kube/kubconfig2 $ kubectl config use...
kubernetes k8s v1.10源码
08-14
Kubernetes,通常缩写为k8s,是一种流行的开源容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。v1.10是Kubernetes的一个版本,它在2018年发布,包含了多项改进和新特性。下面将详细讨论这个版本中的关键...
运维-K8S-1.14
06-26
K8S 1.14 版本是Kubernetes的重要里程碑,包含了多项改进和新特性,使得在CentOS 7服务器上运行更加高效和稳定。 首先,K8S 1.14引入了核心DNS的默认集成,这使得DNS服务更加稳定,提升了集群内部服务发现的性能。...
clientgofix:clientgofix将对旧k8s.ioclient-go方法的调用重写为使用较新的调用
03-09
自动调整: 在需要的地方插入一个context.TODO()参数在需要的地方插入一个空的options struct参数(例如metav1.UpdateOptions{} ) *metav1.DeleteOptions引用现有的*metav1.DeleteOptions参数用metav1....
k8s 通过set-context 控制namespace 进行隔离
邢宁
12-03 2184
前言 k8s可以基于命名空间实现完全隔离的环境,可以根据业务的不同划分不同的namespace来使用,在这里简单分享一下 1、创建namespace kubectl create -f https://k8s.io/examples/admin/namespace-dev.json kubectl create -f https://k8s.io/examples/admin/namespace-prod.json #查看创建的命名空间 kubectl get namespaces --show-la
k8s Context
duolatech
09-14 152
【代码】k8s Context
linux grep cut tr
Neil的博客
02-02 272
[root@k8s-master ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authority-data: DATA+OMITTED server: https://192.168.159.135:6443 name: kubernetes contexts: - co...
kubernetes# kubectl管理多个集群环境
weixin_43996530的博客
09-06 324
在使用k8s集群过程中,针对多个集群的情况,每次都是需要SSH到指定的master节点,然后执行对应的kubectl命令来操作集群,多个集群的情况下过于繁琐。我们可以通过本地的kubectl工具管理多个k8s集群,只需要将多个集群的链接信息配置在本地,就可以在本地随意切换k8s集群环境进行操作。
k8s的deployment如何设置多个环境变量
04-20
关于Kubernetes的Deployment设置多个环境变量的方法,可以通过在Deployment资源配置文件的spec.template.spec.containers.env数组中定义多个名称和值,例如: ``` apiVersion: apps/v1 kind: Deployment metadata: name: my-deployment spec: replicas: 3 selector: matchLabels: app: my-app template: metadata: labels: app: my-app spec: containers: - name: my-container image: my-image env: - name: ENV_1 value: value1 - name: ENV_2 value: value2 - name: ENV_3 value: value3 ``` 在这个例子中,`env`数组中定义了三个环境变量,分别是`ENV_1`,`ENV_2`和`ENV_3`,对应的值分别为`value1`,`value2`和`value3`。可以根据需要在其中增加或删除环境变量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值