k8s创建用户账号——User Account

最新推荐文章于 2024-08-29 10:08:40 发布
最新推荐文章于 2024-08-29 10:08:40 发布
阅读量1k 收藏
点赞数
分类专栏: k8s小技巧 文章标签: kubernetes 运维
本文为博主原创文章,未经博主允许不得转载
本文链接:https://blog.csdn.net/weixin_46837396/article/details/124262829
版权
本文介绍了如何在Kubernetes中创建User Account,包括创建证书、配置文件、Role和Rolebinding等步骤,详细讲解了权限设置和验证过程,以实现对Kubernetes资源的访问控制。
摘要由CSDN通过智能技术生成

k8s创建用户账号——User Account

用户账户和用户组

Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。
Use Account(用户账号):一般是指由独立于Kubernetes之外的其他服务管理的用 户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包 含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernetes 系统中 。
Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。
在这里插入图片描述
Kubernetes 有着以下几个内建的用于特殊目的的组 。

  • system:unauthenticated:未能通过任何一个授权插件检验的账号,即未通过认证测 试的用户所属的组 。
  • system :authenticated :认证成功后的用户自动加入的一个组,用于快捷引用所有正常通过认证的用户账号。
  • system : serviceaccounts:当前系统上的所有 Service Account 对象。system :serviceaccounts :<namespace>:特定命名空间内所有的 Service Account 对象。

下面我们来创建一个User Account,测试访问某些我们授权的资源:

创建k8s User Account

一、创建证书

1、创建user私钥

#yum install openssl -y

root@k8s-master:/etc/kubernetes/pki# (umask 077;openssl genrsa -out cbmljs.key 2048)
Generating RSA private key, 2048 bit long modulus
.......................+++
...........................................+++
e is 65537 (0x10001)
root@k8s-master:/etc/kubernetes/pki#

2、创建证书签署请求

O=组织信息,CN=用户名

root@k8s-master:/etc/kubernetes/pki#  openssl req -new -key cbmljs.key -out cbmljs.csr -subj "/O=k8s/CN=cbmljs"
root@k8s-master:/etc/kubernetes/pki#

3、签署证书

root@k8s-master:/etc/kubernetes/pki# openssl  x509 -req -in cbmljs.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cbmljs.crt -days 365
Signature ok
subject=/O=k8s/CN=cbmljs
Getting CA Private Key
root@k8s-master:/etc/kubernetes/pki#

二、创建配置文件

1、创建配置文件主要有以下几个步骤:

kubectl config set-cluster --kubeconfig=/PATH/TO/SOMEFILE      #集群配置
kubectl config set-credentials NAME --kubeconfig=/PATH/TO/SOMEFILE #用户配置
kubectl config set-context    #context配置
kubectl config use-context    #切换context

* --embed-certs=true的作用是不在配置文件中显示证书信息。
* --kubeconfig=/root/cbmljs.conf用于创建新的配置文件,如果不加此选项,则内容会添加到家目录下.kube/config文件中,可以使用use-context来切换不同的用户管理k8s集群。
* context简单的理解就是用什么用户来管理哪个集群,即用户和集群的结合。

2、创建集群配置

root@k8s-master:/etc/kubernetes/pki# kubectl config set-cluster k8s --server=https://192.168.253.136:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig&#
最低0.47元/天 解锁文章
weixin_46837396
关注
专栏目录
k8suser account
fengcai_ke的博客
07-11 1226
k8s user account
Kubernetes运维工程师必备:K8s 基础面试题精编(一)
jks212454的博客
07-08 364
Kubernetes运维工程师必备:K8s 基础面试题精编(一)
调用k8s api实现添加用户并授权
最新发布
qq_31055683的博客
08-29 1031
k8s中如果想给一个用户创建授权文件,并让用户可用通过该config文件操作k8s集群,流程如下1、生成私钥和证书签名请求(CSR)2、创建资源3、查看和审批CSR4、获取已颁发的证书你获取的是 Kubernetes 集群的 CA(Certificate Authority)证书的 Base64 编码数据。这些数据用于验证 Kubernetes API 服务器证书的根证书。5、配置kubernetes客户端6、生成config文件获取集群的ca证书使用以下命令创建一个新的kubeconfig。
k8s创建普通用户
whz-emm的博客
10-27 1728
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
创建k8s普通用户
Dang_Ni的博客
08-04 303
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 607
【代码】K8S创建用户账号User Account并赋予权限。
kubernetes10——访问控制(serviceaccountuseraccount、RBAC)
qwejiaji的博客
08-05 943
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
一个k8s集群——跨云服务器部署
qq_43285879的博客
10-16 3648
穷学生只买得起云厂商新人优惠服务器,想玩分布式只能搭建跨云集群,无奈不是一个云厂商不在同一vpc网络下,有很多坑特此记录一下 两台服务器,一台青云4c8g,一台腾讯云2c4g 1、安装Docker sudo yum remove docker* sudo yum install -y yum-utils #配置docker的yum地址 sudo yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/c
Linux企业运维篇——docker之k8s集群搭建
weixin_44321116的博客
05-31 638
kubernetesk8s)中文文档参考 http://docs.kubernetes.org.cn/ 一.Kubernetes介绍 Kubernetes一个用于容器集群的自动化部署、扩容以及运维的开源平台。 1.Kubernetes可以做什么? 使用Web服务,用户希望应用程序能够7*24小时全天运行,开发人员希望每天多次部署新的应用版本。通过应用容器化可以实现这些目标,使应用简单、快捷的方式...
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3913
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
k8s 创建普通用户使用
weixin_42562106的博客
11-09 592
【代码】k8s 创建普通用户使用。
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2110
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
K8S集群 - 创建用户访问授权
caryeko的专栏
07-29 148
创建一个用户信息:create-account.yaml。用户信息绑定权限:rule-binding.yaml。
k8s怎么创建管理员用户
weixin_35750483的博客
01-23 684
Kubernetes 集群中创建管理员用户的方法有多种,其中一种是通过 kubeadm 工具来创建。使用 kubeadm 创建的用户默认拥有 cluster-admin 权限。 创建管理员用户的证书和私钥: openssl genpkey -out admin-key.pem -aes256 -algorithm rsa -pkeyopt rsa_keygen_bits:4096 opens...
Kubernetesk8s user类型账号的config文件创建
K_sir666的博客
08-17 775
kubectl是 Kubernetes 命令行工具,用于与 Kubernetes 集群进行交互。它允许用户执行各种操作,如部署应用、管理资源、查看集群状态等。–server可以通过命令查看集群API地址的这个命令执行后config文件已生成(kube-dev.config)
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1187
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
k8s普通账号建立
cloud_engineer的博客
06-10 1312
本博客将创建一个用户devuser(自定义)只能管理demo空间
k8s 创建user,group ServiceAccount创建
06-01
search_result_table.setHorizontalHeaderLabels(["ID", "类型", "支出", "关键字", "在 Kubernetes 中,可以使用以下步骤来创建用户、组和 ServiceAccount创建用户和组: 1. 通过 ssh 连日期"]) search_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值