k8s系列(十三:实例)k8s认证及serviceaccount、用集群ca签署私钥

最新推荐文章于 2024-02-10 17:17:21 发布
最新推荐文章于 2024-02-10 17:17:21 发布
阅读量424 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xopqaaa/article/details/103098630
版权

认证——授权——准入

插件的形式,通过一个插件即可

认证:

        1、token

        2、sso

授权:

        1、RBAC基于角色的访问许可控制

        2、webhook

准入控制:用来定义对应认证授权之后的控制

客户端请求API server的信息组成

        user:username,uid

        group:

        extra:

        API

        Requst path  (k8s的apiserver是分了组的)

                例/apis/apps/v1

                    /apis/apps/v1/namespaces/default/deployments/myapp-deploy/

或拆分为(HTTP request verb:

                   get, post, put, delete

         API request verb:

                  get,list,create, update, patch, watch, proxy, redirect,delete,deletecollection

        Resource:

        Subresource:

        Namespace

        API Group)

创建serviceaccount

用create创建

pod中指定serviceaccount

         

手动自定义集群配置文件

可以用ca签字自定义的证书

创建私钥

基于私钥生产证书有ca.crt来签署,生产证书签署请求

签署证书

查看k8s签署的私有证书内容

将以上配置的用户信息加入到k8s的集群配置文件中

设置上下文让haha这个用户能够访问集群

切换到此用户访问集群(提示没有权限)

 

指定集群配置文件的路径

kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://192.168.88.107:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
 

添加用户

root账号下依然是

 

 

 

 

 

速度在摇晃
关注
专栏目录
一、二进制方式 安装部署K8S
爱吃西红柿的博客
01-07 1427
1、集群架构2、资源规划角色IP主机名组件etcdk8s-node-1k8s-node-1kubeletkube-proxydockeretcdk8s-node-2k8s-node-2kubeletkube-proxydockeretcd。
kubewebhook:Go框架来创建Kubernetes变异和验证webhooks
02-03
kubewebhook master目标为v2 ,如果您要查找v1,请选中。 Kubewebhook是一个小型的Go框架,用于为Kubernetes创建钩子。 借助Kubewebhook,您可以快速,轻松地验证和变异任何版本的Webhook,并且主要关注Webhook本身的域逻辑。 产品特点 准备更改和验证Webhook类型。 摘要webhook版本控制(与v1beta1和v1兼容)。 资源推断(与CRD兼容,并回 )。 易于测试的API。 简单,可扩展且灵活。 同一台服务器上的多个webhook。 包含Webhook度量标准( )。 支持。 入门 使用github.com/slok/kubewebhook/v2导入Kubewebhook v2 。 func run () error { logger := & kwhlog. Std { Debug : true } // Create our mutator mt := kwhmutating . MutatorFunc ( func ( _ context. Context , _
Kubernetes(k8s)1.14 离线版集群 - 创建CA证书、秘钥和部署kubectl工具
esqabc的博客
10-28 728
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除 1、安装CA证书生成工具 a、创建证书文件夹 [root@k8s-01 ...
自定义服务账户(Service Account
IT老男孩
08-09 1737
本文永久链接: https://www.xtplayer.cn/kubernetes/custom-serviceaccount/Service account 主要是为了方便 Pod 中的进程调用 Kubernetes API 而设计的,为服务提供了一种方便的认证机制。但它不提供授权,需要配合 RBAC 来为 Service Account 鉴权。用户帐户与服务帐户Kubernetes 出于多种...
K8s 集群上运行ca机制
码农崛起
08-19 1335
https://my.oschina.net/u/3874284/blog/3167230 现在我们上微博、或者网购,操作的其实不是眼前这台设备,而是一个又一个集群。通常,这样的集群拥有成百上千个节点,每个节点是一台物理机或虚拟机。集群一般远离用户,坐落在数据中心。为了让这些节点互相协作,对外提供一致且高效的服务,集群需要操作系统。Kubernetes 就是这样的操作系统。 比较 Kubernetes 和单机操作系统,Kubernetes 相当于内核,它负责集群软硬件资源管理,并对外提供统一的入口,用户
K8S-用户认证
qq_45335806的博客
10-29 1万+
普通用户 https://kubernetes.io/zh/docs/reference/access-authn-authz/certificate-signing-requests/ 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签名的证书, 然后将该证书作为 API 调用的证书头或通过 kubectl 提供出来。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 字段很重要。CN 是用户名,O
k8s-身份认证与权限
Mclaughling的博客
10-28 4619
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
二进制部署k8s1.18(上)
zenglingmin8的博客
05-20 351
正在整理中,敬请期待
K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制)
weixin_45880055的博客
06-10 2992
文章目录一、访问控制概述二、认证管理三、授权管理Role、ClusterRoleRoleBinding、ClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account: 一般是独立于kubern
二十、K8S-1-权限管理RBAC详解
最新发布
爱吃西红柿的博客
02-10 1882
在RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
k8s中使用secret挂载rsa密钥对
梦想起飞的地方.........
05-19 986
网上有好几种方法,我使用的不是直接写在yaml中,而是使用命令,全程不会接触和修改rsa的公私钥文件内容。 一,拿到或生成pem格式的密钥对。 过程略,假设拿到的文件名为private.pem和public.pem 二,在K8s集群中导入rsa文件。 命名为rsa-secret ,namespace为cgtest. kubectl create secret generic rsa-secret --from-file=ssh-privatekey=private.pem --from-file
kubernetes集群 CA认证
weixin_33979745的博客
07-06 480
一、设备kube-apiserver的CA正式相关的文件和启动参数openssl genrsa -out ca.key 2048openssl req x509 -new nodes -key ca.key -subj "/CN=yourcompany.com" -days 5000 -out ca.crtopensll genrsa -out server.key 2048...
[云原生k8s] k8sCA证书创建和使用
qq_57377057的博客
11-01 2951
目前生产部署Kubernetes集群主要有两种方式:(1)kubeadmKubeadm 是一个 K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于快速部 署 Kubernetes 集群。官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(2)二进制包从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群
K8s-验证集群功能.08
Vv的博客
01-03 1172
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/08.%E9%AA%8C%E8%AF%81%E9%9B%86%E7%BE%A4%E5%8A%9F%E8%83%BD.md 上一篇:K8s-部署 kube-proxy 组件.07-03 tags: verify 本文档使用 daem...
k8sServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s认证serviceAccount、userAccount
weixin_30275415的博客
08-03 929
1.概述 用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存. kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中的信息,可以采用代理方式 kubectl proxy --port=8080 # HTTP request action,如get,post,put,delete, # 这些a...
【多用户】k8s多用户配置 kubeconfig
叮当猫的喵i
09-29 1349
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
k8s学习笔记-认证(Serviceaccount)
weixin_30274627的博客
05-09 641
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理, 其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiser...
k8sservice account
fengcai_ke的博客
07-11 3585
k8s service account分析
手动创建二进制部署k8s集群的kubeconfig配置
"这篇内容主要讲述了如何在二进制部署的Kubernetes(k8s集群环境下,手动创建kubeconfig配置文件。kubeconfig文件对于Kubernetes集群的管理和操作至关重要,它包含了连接到集群所需的认证信息、集群地址以及上下文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值