配置普通linux平台用户访问k8s集群

已于 2023-01-28 08:46:53 修改
阅读量1k 收藏 6
点赞数
文章标签: kubernetes linux 运维
于 2023-01-28 08:44:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhredeem/article/details/128774590
版权

生产环境对于业务的稳定性要求是相当高的,为了防止误操作,通常是通过不同的账号与权限来进行限制的。对于k8s集群而言,部署的时候通常是以linux root用户的身份进行部署的,k8s的安全机制是,认证、鉴权、准入控制;意味着除root用户外,其他普通用户不具备请求k8s集群资源的权限。普通用户访问k8s资源需要做认证与授权操作。

认证:

1、查看

认证之前首先查看普通用户(自定义的普通用户zs)访问k8s集群报什么错

[root@master01 ~]# su - zs

[zs@master01 ~]$ kubectl get  nodes

报错提示:连接到本机8080端口的服务被拒绝了,是否指明了正确的主机或者端口。即不能与apiserver交互。

2、创建证书(切回root用户)

[root@master01 ~]# cd /etc/kubernetes/pki/       

[root@master01 pki]# openssl genrsa -out zs.key 2048  

[root@master01 pki]# openssl req -new -key zs.key -out zs.csr -subj "/CN=zs/O=zs"

[root@master01 pki]# openssl x509 -req -in zs.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out zs.crt -days 3650

3、查看、设置集群、用户、上下文信息

查看集群信息、因为我之前做高可用,所以监听的端口是16443而不是6443,正常情况下默认是6443。

[zs@master01 ~]$ kubectl  cluster-info

设置名为kubernetes集群

[root@master01 pki]# kubectl  config  set-cluster  kubernetes --embed-certs=true  --certificate-authority=/etc/kubernetes/pki/ca.crt  --server=https://192.168.11.200:16443

设置用户

[root@master01 pki]# kubectl  config  set-credentials  zs --embed-certs=true --client-certificate=/etc/kubernetes/pki/zs.crt  --client-key=/etc/kubernetes/pki/zs.key

设置上下文信息

[root@master01 pki]# kubectl  config  set-context  zs@kubernetes  --cluster=kubernetes  --user=zs

4、拷贝证书文件即集群文件至普通用户家目录,并更改归属关系

[root@master01 pki]# mkdir /home/zs/.kube

[root@master01 pki]# cp zs.key zs.crt  zs.csr  /home/zs/

[root@master01 pki]# cp /root/.kube/config  /home/zs/.kube/

[root@master01 pki]# chown -R zs:zs /home/zs/

此时认证已经完成,但是认证完成并不代表你有任何权限访问集群资源

授权

授权即创建角色,并将角色与对象绑定

1、创建Clusterrole与Clusterrolebinding,即用户与权限绑定实现用户对资源的请求操作

[root@master01 test]# kubectl  apply  -f  zs.clusterrrole.clusterrolebind.yml

[root@master01 test]# cat zs.clusterrole.clusterrolebind.yml

---

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: zsclusterrole

rules:

- apiGroups: ["*"] # "" 表示所有api组

  resources: ["*"] #*表示所有资源

  verbs: ["list","watch","get"]  

---

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

  name: zsclusterrolebinding

subjects:

# 你可以指定不止一个“subject(主体)”

- kind: User

  name: zs # "name" 是区分大小写的

  apiGroup: rbac.authorization.k8s.io

roleRef:

  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系

  kind: ClusterRole        # 此字段必须是 Role 或 ClusterRole

  name: zsclusterrole  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配

  apiGroup: rbac.authorization.k8s.io

此时已经完成角色创建及绑定,即可以访问哪些资源,对哪些资源有什么操作权限。

2、验证操作

切换到zs用户,查看当前所处的上下文,并非zs用户的,切换到zs用户的上下文

[root@master01 ~]# su - zs

[zs@master01 ~]$ kubectl  config  get-contexts

[zs@master01 ~]$ kubectl  config  use-context  zs@kubernetes

验证鉴权操作,因为上面设置的权限是对所有资源有查看权限,这里使用删除作为验证。集群中有一个我自定义的deployment与service

[zs@master01 ~]$ kubectl  get  svc,deployment

[zs@master01 ~]$ kubectl  delete  deployments.apps  nginx-deployment

[zs@master01 ~]$ kubectl  delete  svc define

最终,发现所有资源都可以看,因为上面设置的权限是看,但是不能删除。权限即角色的创建与修改可以根据需要自行查看。

xhredeem
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
root用户如何使用kubectl管理kubernetes集群
专注技术
10-03 5463
使用root用户操作kubectl较为危险,所以一般会使用root用户。这里使用k8s用户举例 首先让非root用户可操作docker。 useradd k8s -g docker passwd k8s 回到root用户重启docker服务 systemctl restart docker 这样就建立了一个k8s用户可操作docker 然后拷贝master节点的/etc/kuberne...
写一个linux脚本,查看k8s占用的所有端口号,包含服务内部的
weixin_35756624的博客
01-01 429
Linux 中,可以使用 ss 命令查看占用的所有端口号。要查看 k8s 占用的所有端口,可以使用以下脚本: #!/bin/bash # 查看所有的 k8s 端口 ss -lptn 'sport = :6443 or sport = :2379 or sport = :2380 or sport = :10250 or sport = :10251 or sport = :10252' 上...
k8s集群管理
最新发布
QueueTT的博客
06-24 1112
k8s集群管理集群管理命令命令说明helpcluster-infoversionapi-resourcesapi-versionsconfig主机管理授权Pod管理命令创建PodPod 创建过程Pod 生命周期Pod 管理命令(一)getcreaterundescribelogsPod 管理命令(二)exec在容器内执行命令cpdelete资源对象文件Pod 资源对象文件(默写)资源文件管理命令createdeleteapply
root切换普通用户执行kubectl exec 执行pod命令
完颜振江
05-17 1648
Bash命令大体可以分为两类: 第一类是可执行文件,例如ls等 第二类是Bash内建命令exec命令同样类似于docker的exec命令,为在一个已经运行的容器中执行一条shell命令,如果一个pod容器中,有多个容器,需要使用-c选项指定容器。执行Pod的data命令,默认是用Pod中的第一个容器执行。
普通用户授权访问k8s资源(tls,rbac)
zpsimon的博客
10-18 751
为指定用户授权访问不同命名空间权限,例如:给新入职的员工zhangsan,添加权限,先给小的查询权限(default空间的pod读取权限),熟悉后,再给大的权限(所有的空间的pod的读写权限)
linux搭建kubernetes集群(一主二从)
cat91的博客
05-13 4233
目录 1.环境准备 1.1禁用swap(kubernetes特性) 1.2 关闭iptables(三台机器都要设置) 1.3 修改主机名(三台机器都要设置) 1.4域名解析,ssh免密登录 2.安装k8s 2.1下载yum源 2.2创建缓存(将后面需要下载的rpm包缓存下来,方便其他机器使用) 2.3 打开iptables桥接功能(三个节点都需调整) 2.4 打开路由转发(三个节点都需调整) 2.5 回到master节点 2.6 初始化集群(下载镜像) 2.7 其他节点加入集群 .
如何快速实现办公网络与 Kubernetes 内部网络的互联互通
easylife206的专栏
08-24 475
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 LinuxK8S搭建完毕之后,碰到个问题,如何进行远程debug(别在生产环境远程debug哦)?那就需要打通局域网和K8S内部网络了。本文主要介绍Pod通信、K8S网络插件、局域网和K8S网络如何打通。1、问题描述我们在实际使用K8S过程中,出现了以下需求:出现问题时,想进行远程debug调试。开发在电脑完成某个微服务模块开...
Linux-07-k8s集群搭建(亲测有效).md
04-07
k8s集群搭建
helm部署应用到k8s集群(helm+k8s)-详细文档
06-21
helm 部署应用到 k8s 集群详细文档 本文档详细介绍了使用 Helm 部署应用到 Kubernetes 集群的过程。Helm 是一个 Kubernetes 的包管理工具,能够方便地将之前打包好的 YAML 文件部署到 Kubernetes 上。 Helm 有三个...
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会...
k8s集群环境搭建资源
10-27
k8s集群环境的搭建是一项复杂而重要的任务,它涉及到多个组件的安装配置,包括Master节点和Worker节点,以及网络策略、存储、安全等多方面的设置。下面我们将详细探讨k8s集群环境搭建的相关知识点。 1. **Master...
使用kubectl、docker命令(非root用户
谦虚使人发胖的博客
10-25 1019
一、创建非root用户 useradd dev #创建用户 passwd dev #修改密码<br> 二、赋予sudo权限 root ALL=(ALL) ALL dev ALL=(ALL) ALL #新增用户信息 三、配置dev用户使用kubectl使用权限 1、切换到普通用户操作: su - dev mkdir -p /home/dev/.kube sudo cp -i /etc/kubernetes/admin.kubeconfig /home/dev/.kube/conf
Linux k8s相关命令
还在活水泥的未来包工头
04-07 480
确认 Pod 是否运行:确保您要查看的 Pod 确实在运行中。在Kubernetes集群中,如果出现DNS解析问题,可能是由于CoreDNS(或其他DNS插件)配置不正确或运行异常导致的。检查CoreDNS配置:您可以查看CoreDNS的配置文件,确保其中包含正确的DNS解析配置。切换到特定命名空间:如果您知道要查看的 Pod 所在的命名空间,可以使用 -n 参数切换到该命名空间。确保配置文件中包含正确的域名解析配置,如正确的nameserver和forward配置。这将列出所有命名空间中运行的 Pod。
linux查看k8s版本
重剑无锋博客
09-03 2158
kubectl version
K8s完整部署方式
猫与少年
01-30 2923
K8s部署安装方式
Kubernetes----Kubernetes集群环境配置在Node节点或普通用户使用kubectl命令
redrose2100的博客
03-20 1878
一、配置在Node节点root用户使用kubectl命令 如下,将 ~/.kube 目录拷贝到node节点上即可 # 拷贝到node1节点 scp -r ~/.kube node1:~/ # 拷贝到node2节点 scp -r ~/.kube node2:~/ 二、在Master节点普通用户使用kubectl命令 如下,经 ~/.kube 目录拷贝普通用户目录下,然后修改用户所有者和所属组即可,如下给用户honghua配置执行kubectl命令的权限设置 [root@master ~]# cp -R .k
Kubernetes之kuberconfig--普通用户授权kubernetes集群
saynaihe的博客
10-10 1340
背景: 是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig配
Linux中进行K8s部署
weixin_43268590的博客
08-24 3931
准备工作 部署K8s集群对服务器的要求: 1)3台以上装有CentOS7.7版本以上的64位系统的服务器; 2)每台服务器的硬件配置都是内存最少2G,CPU至少双核,硬盘至少30GB; 3)集群中所有服务器之间网络互通; 4)可以访问外网,需要拉取镜像; 5)禁止swap分区。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值