非集群集群如何管理K8S主机及权限控制

最新推荐文章于 2024-05-09 21:35:16 发布
最新推荐文章于 2024-05-09 21:35:16 发布
阅读量181 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47677347/article/details/120350716
版权

一、非集群主机管理K8S主机配置

1、下载kubectl命令
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg


yum -y install kubectl
2、拷贝config文件
scp /root/.kube/config remote_ip:/root/config
二、对kubectl使用用户的权限控制
1、基于ca根证书创建用户证书
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

# 下面的“CN"字段对应的即为用户名
cat > xyh-csr.json <<EOF
{
  "CN": "xyh",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes xyh-csr.json | cfssljson -bare xyh
2、生成对应的kubeconfig文件
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://192.168.112.110:16443 \
  --kubeconfig=xyh.kubeconfig
 
# 设置客户端认证
kubectl config set-credentials xyh \
  --client-key=xyh-key.pem \
  --client-certificate=xyh.pem \
  --embed-certs=true \
  --kubeconfig=xyh.kubeconfig

# 设置默认上下文
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=xyh \
  --kubeconfig=xyh.kubeconfig

# 设置当前使用配置
kubectl config use-context kubernetes --kubeconfig=xyh.kubeconfig
3、创建角色绑定
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

---
# 下方的name字段对应用户名,即证书中的CN
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: xyh
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

注意:

  • role中定义的aipgroups的“ ”,代表核心组,可通过kubectl api-resources的第三列确定资源所属组
    • pods属于核心组:“ ”
    • deployments属于apps组
    • apiservices属于piregistration.k8s.io组
  • 需要修改用户相应的权限,只需修改role中定义的权限
    • apiGroups: ["",“apps”] 添加apps组资源
    • resources: [“pods”,“deployments”] 添加apps组中的deployments资源
    • verbs: [“get”, “watch”, “list”,“delete”] 添加delete上述资源的权限
[root@k8s-master1 RBAC]# kubectl api-resources
NAME              SHORTNAMES   APIVERSION            NAMESPACED     KIND
bindings                         v1                    true         Binding
pods               po            v1                    true         Pod
services           svc           v1                    true         Service
apiservices              piregistration.k8s.io/v1      false        APIService
daemonsets         ds         apps/v1                  true         DaemonSet
deployments      deploy       apps/v1                  true         Deployment
replicasets        rs         apps/v1                  true         ReplicaSet
海色的人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在centos 7中安装配置k8s集群的步骤详解
09-15
在CentOS 7中搭建Kubernetes (k8s) 集群是一项复杂但至关重要的任务,特别是对于希望实现高效容器化应用管理的企业而言。Kubernetes是由Google开发的开源容器编排系统,它提供了强大的应用部署、管理和扩展功能,...
使用rke构建企业生产k8s,安装kubectl客户端
m0_50641264的博客
09-25 255
使用rke构建企业生产k8s,安装kubectl客户端
容器集群管理系统KubernetesK8S
zzzxxx520369的博客
05-09 1220
k8s 概述(包含容器编排、docker、messos+marathon 、k8s容器编排) 云原生 SREdocker compose单机编排工具 有企业在使用docker swarm 能够在多台主机中构建一个docker集群、 docker swarm可以集群化的管理、 处理容器,也算是一个工具 基本上已经淘汰。
Istio:线上学习,不用搭建K8S集群
琦彦
01-08 1773
Katacode上的Istio学习环境 推荐原因:使用简单,使用官方示例,免费,快速,无需注册,可直接通过互联网访问示例应用页面,支持最新版的Istio。 Katacoda已支持Istio 1.0的学习环境。 地址:https://www.katacoda.com/courses/istio Katacoda已支持Istio 1.0的学习环境 教程中包含Istio的主要特性: 创...
Kubernetes基础
weixin_55609824的博客
08-10 530
目录一、Kubernetes概述二、K8S的特性三、Kubernetes集群架构与组件核心组件四、Kubernetes 核心概念==Pod====Label====Service====Ingress====Name====Namespace==五、常见的K8S按照部署方式1、Mini kube2、Kubeadmin3、二进制安装部署 一、Kubernetes概述 1、K8S是什么? K8S的全称为Kubernetes (K12345678S),PS:“嘛,写全称也太累了吧,不如整个缩写”。 1)作用
kubernetesK8s):管理云平台中多个主机上的容器化的应用
RToax
08-27 1163
目录 kubernetes简介 Kubernetes生态 Kubernetes概述 Kubernetes官网 kubernetes简介 kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行...
Ansible脚本搭建K8s集群.pptx
12-25
### Ansible脚本搭建K8s集群 #### Ansible简介 Ansible是一种新兴的自动化运维工具,基于Python语言开发而成,旨在简化系统管理和应用程序部署流程。它汇集了其他多种运维工具(例如Puppet、Chef、Func和Fabric)...
最新搭建高可用K8S集群文档 (基于K8S 1.15)
10-19
搭建一个高可用的Kubernetes (K8S) 集群是现代云原生应用部署的基础,特别是对于大型企业或需要高稳定性的服务而言。在这个过程中,K8S 1.15 版本提供了稳定性和性能的良好平衡。以下是根据提供的信息详细说明的搭建...
k0otkit:针对K8s集群的通用后渗透控制技术.pdf
08-11
Kubernetes(通常简称为K8s)是一个开源的自动化系统,用于管理和扩展容器化的应用程序。它能够处理应用的部署、扩展以及运行时的管理,确保服务的高可用性和容错性。Kubernetes的核心组件包括API服务器、etcd、控制...
ansible一键部署k8s1.16集群-二进制方式部署k8s集群,安装包和详细笔记
最新发布
05-27
2. **主机清单**:创建一个主机清单文件(如 `inventory.ini`),列出所有参与k8s集群的节点,包括master和worker节点,指定它们的角色。 3. **角色和任务**:定义Ansible角色,每个角色对应k8s部署过程中的一个...
Kubernetes主机和容器的监控方案
Kubernetes中文社区
09-06 1610
本文是有容云后端开发工程师 李强 7月27日在微信群分享内容整理 摘要:随着Docker容器云的广泛应用,大量的业务软件运行在容器中,这使得对docker容器的监控越来越重要。传统的监控系统大多数是针对物理机或者虚拟机设计的,而容器的特点不同与传统的物理机或者虚拟机,如果还是采用传统的监控系统,则会增加监控复杂程度,那么如何对容器进行监控呢? 大家晚上好,今天很高兴能在这里和大家一
【云原生之k8sK8s 管理工具 kubectl 详解(一)
weixin_67582338的博客
08-08 2205
resource可以是具体资源名称,如"pod nhinx-xxx";也可以是资源类型,如“pod,node,svc,deploy”多种资源使用逗号间隔;或者all(仅展示几种核心资源,并不完整)直接使用kubectl edit service nginx-service在线编辑配置资源清单并保存退出即时生效(如port: 888)注意:当apply不生效时,先使用delete清除资源,再apply创建资源。获取资源的相关信息,-n指定命名空间,-o指定输出格式。#namespace可以缩写成ns。...
k8s 集群(不推荐)
weixin_30649859的博客
05-29 237
参考链接 https://blog.csdn.net/real_myth/article/details/78719244 服务器IP角色分布 Test-01 172.16.119.214 kubernetes node Test-02 172.16.119.223 kubernetes node Test-03 172.16.119.224 kubernetes...
管理20+大型Kubernetes集群、400+台机器,秘诀在于……
读芯术的博客
10-26 384
全文共2363字,预计学习时长6分钟 图源:unsplash 我在生产中管理大规模Kubernetes集群已经三年有余,日复一日的事实证明,我的方法是行之有效的。本文中将和大家分享关于kubectl终端设置的极简主义法。 一个精心定制的命令行终端可以显著提高生产率,这是所有奇迹发生的核心。但是我认为,与流行的命令行定制和功能丰富的升级相比,在安装任何一种新的二进制文件、包装器或修改程序时,简单的设置是常省时省力的。特别是使用kubectl时,这种本机工具设计完善、几乎没有需要解决的问题..
ELK的搭建--集群
weixin_38117908的博客
09-07 259
ELK的搭建--集群1、ELK日志系统介绍2、ELK搭建(集群)2.1、ELK资源下载2.2、新建ELK用户2.3、Elasticsearch配置启动2.4、Kibana配置启动2.4、Logstash配置启动2.5、Elk日志收集验证 1、ELK日志系统介绍 1、ELK分别是Elasticsearch、Logstash、Kibana三个开源框架缩写。 Elasticsearch:接收搜集的海量结构化日志数据,并提供给kibana查询分析 Logstash:用于收集日志,对日志进行过滤形成结构化数据,并
k8s部署及管理
weixin_48419369的博客
10-28 3543
kubernetes 概述 官网地址:https://kubernetes.io/zh/docs/concepts/overview —kubernetes名字来自希腊语,意思是舵手(领航员),k8s是将k和s之间的8个字母ubernete替换成8的缩写 —Kubernetes的创造者是行业巨头Google —Kubernetes是基于Borg的大规模容器管理的开源版本 —2014年6月Google正式公布并宣布开源 —编配,管理,调度等各方面集成的一套管理容器的系统 —Kubernetes 是一个开源容器
【Redis】redis集群集群环境下的jedis客户端通用开发
热门推荐
三也_攻城狮
04-16 1万+
集群环境下 package com.chiwei.redis; import java.util.ArrayList; import java.util.List; import org.junit.Test; import redis.clients.jedis.Jedis; import redis.clients.jedis.JedisPool; import redis.cl
阿里云Ubuntu下K8s主机集群部署教程
本篇教程详细介绍了如何在Ubuntu环境下搭建多主机Kubernetes (K8s) 集群。首先,确保你的基础环境已经准备就绪,包括更新系统至最新版本,并安装必要的网络工具如`ifconfig`。接着,我们将学习如何安全地管理root...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值