如何创建一个用户、授权操作k8s集群的过程?

最新推荐文章于 2024-05-23 10:11:48 发布
最新推荐文章于 2024-05-23 10:11:48 发布
阅读量1k 收藏 2
点赞数
文章标签: kubernetes
原文链接:https://www.linuxprobe.com/kubernetes-rbac-role.html
版权
本篇带给大家如何创建一个用户、授权操作k8s集群的过程。希望对你有所帮助!

背景

172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。

创建访问architechure命名空间的用户

1.给用户devops 创建一个私钥

openssl genrsa -out devops.key 2048

2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组)

openssl req -new -key devops.key -out devops.csr -subj "/CN=devops/O=architechure"

3.然后找到我们的Kubernetes集群的CA

我们使用的是kubeadm安装的集群,CA相关证书位于/etc/kubernetes/pki/目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA的目录,我们会利用该目录下面的ca.crt和ca.key两个文件来批准上面的证书请求,生成最终的证书文件,我们这里设置证书的有效期为500天

scp root@172.16.99.128:/etc/kubernetes/pki/ca.crt .
scp root@172.16.99.128:/etc/kubernetes/pki/ca.key .
openssl x509 -req -in devops.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out devops.crt -days 500
➜  ls -al
total 72
drwxr-xr-x  11 marion  staff   352 Dec 25 11:32 .
drwxr-xr-x  13 marion  staff   416 Dec 25 11:26 ..
-rw-r--r--   1 marion  staff    17 Dec 25 11:32 .srl
-rw-r--r--   1 marion  staff  1156 Dec 25 11:32 README.md
-rw-r--r--   1 marion  staff  1025 Dec 25 11:30 ca.crt
-rw-------   1 marion  staff  1675 Dec 25 11:30 ca.key
-rw-r--r--   1 marion  staff  1009 Dec 25 11:32 devops.crt
-rw-r--r--   1 marion  staff   924 Dec 25 11:30 devops.csr
-rw-r--r--   1 marion  staff  1679 Dec 25 11:27 devops.key

4.现在我们可以使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证:

kubectl config set-credentials devops --client-certificate=devops.crt  --client-key=devops.key

5.通过刚才创建的用户凭证创建新的上下文(Context)

kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=architechure --user=devops

6.尝试通过该用户操作命令

➜  kubectl get pods --context=devops-context
Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "architechure" # 因为该devops-context还没有操作API的权限

7.给用户创建一个role的角色devops.role.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: devops-role
  namespace: architechure
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["deployments", "replicasets", "pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*']

然后在集群中创建该角色

kubectl apply -f ./devops.role.yaml

8.创建权限与角色之间的绑定关系devops-rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devops-rolebinding
  namespace: architechure
subjects:
- kind: User
  name: devops
  apiGroup: ""
roleRef:
  kind: Role
  name: devops-role # 上一步创建的devops-role实体
  apiGroup: ""

在集群中创建角色与用户之间的绑定关系

k apply -f ./devops-rolebinding.yaml

9.此时我们可以通过kubecm切换到该角色上

如何创建一个用户、授权操作k8s集群的过程?如何创建一个用户、授权操作k8s集群的过程?

此时,从下图就可以查看到当前集群的有一个新的用户角色devops,上面用到的Kubecm我们之前也分享过,如果需要可以点此跳转

如何创建一个用户、授权操作k8s集群的过程?如何创建一个用户、授权操作k8s集群的过程?

10.权限验证

> kubectl get pods
No resources found in architechure namespace.
> kubectl get replicasets
No resources found in architechure namespace.
> kubectl get deploy
No resources found in architechure namespace.
> kubectl get svc
Error from server (Forbidden): services is forbidden: User "devops" cannot list resource "services" in API group "" in the namespace "architechure"

总结一下就是:

  • 根据集群的CA证书创建出来用户证书
  • 根据用户证书创建该用户在集群内的凭证和上下文内容
  • 要想用户能进行基本的操作,需要对用户针对apiGroup授权

为devops用户增加指定命名空间的权限

1.我们先把当前上下文切换到之前有权限操作的user-tf26gt9mmk用户上

kubecm switch
# select dev

否则以下步骤会出错:

2.首先需要创建针对指定命名空间的上下文

kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=default --user=devops

此时查询列举default空间下的pods是不行的,因为还没允许操作

kubectl get pods --context=devops-context
Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "default"

3.创建default空间下的role与rolebinding

devops-role-default.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: devops-role
  namespace: default
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["deployments", "replicasets", "pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*']

devops-rolebinding-default.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devops-rolebinding
  namespace: default
subjects:
- kind: User
  name: devops
  apiGroup: ""
roleRef:
  kind: Role
  name: devops-role
  apiGroup: ""

然后我们在集群中创建这两个对象

kubectl apply -f devops-role-default.yaml
kubectl apply -f devops-rolebinding-default.yaml

4.查看role资源对象是否创建

kubectl get role -A |grep devops-role # 分别在architechure和default命名空间下
architechure                   devops-role                                      2021-05-17T07:57:27Z
default                        devops-role                                      2021-05-28T03:19:24Z

5.切换当前上下文环境,验证是否可以操作资源

kubecm switch
# select devops-context
kubectl get pods -n default
kubectl get pods -n architechure

到这里就基本上说清楚如何创建一个用户、授权操作k8s集群的过程了。

Linux小百科
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3861
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
如何快速在 Kubernetes 集群中新建用户
easylife206的专栏
08-19 630
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Kubernetes中的用户K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User) ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不...
k8s集群配置普通用户权限
最新发布
jingleli21的博客
05-23 591
因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建。resources: ["pods","pods/log","deployments"] #*表示所有资源。:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。:负责管理 Kubernetes 集群用户,拥有最高权限,可以对集群中的资源进行任何操作。- apiGroups: ["*"] # "" 表示所有api组。name: lyj # "name" 是区分大小写的。
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2041
1. 手动创建原因 kubeadmin安装的k8s用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
k8s设置集群角色
weixin_30641999的博客
01-24 729
查看所有的node节点 [root@test1 ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION test1 Ready <none> 2h v1.11.0 test2 Ready ...
k8s 创建UserAccount
qq_32783703的博客
09-07 264
k8s 创建UserAccount。
内网服务器加入k8s集群部署文件
02-18
内网服务器加入Kubernetesk8s集群的部署是一个涉及多步骤的过程,涉及到网络配置、身份验证、证书管理等多个关键技术点。以下是对这个过程的详细解析: 首先,理解Kubernetes(简称k8s)是Google开源的一个容器...
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
搭建k8s集群所需的文件 k8s.zip
07-28
在搭建 Kubernetes (k8s) 集群过程中,我们需要一系列的配置文件和工具,这些文件通常被组织在一个压缩包中,例如 "k8s.zip"。这个压缩包可能包含了以下关键组件和文件: 1. **kubelet**: 这是 Kubernetes 的节点...
企业级容器技术与K8S集群技术实战视频.zip
07-01
11_3_1_使用efk实现k8s集群服务日志采集 12_3_2_fluentd工作原理及参数详解 13_4_1_DevOps及CICD介绍 14_4_2_Jenkins_on_k8s的部署 15_4_3_Jenkins与Gitalb集成示例 16_4_4_Jenkins的Master_Slaves 17_4_5_Pipeline...
k8s之基于用户/用户授权
jiayu的博客
05-07 1796
Kubernetes 通过身份认证插件利用客户端证书、持有者令牌(Bearer Token)或身份认证代理(Proxy) 来认证 API 请求的身份,这篇博客将介绍如何基于用户用户组进行授权
云计算虚拟化:k8s认证流程&用户&用户组&权限相关
dustzhu的博客
09-28 1638
一. 前言 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户/用户;前者由Kubernetes进行管理主要用于pod;后者由外部应用进行管理,主要是人 在安全方面,Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等, Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server
k8s创建普通用户
whz-emm的博客
10-27 1660
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
k8s普通账号建立
cloud_engineer的博客
06-10 1231
本博客将创建一个用户devuser(自定义)只能管理demo空间
Kubernetes详解(五十一)——Kubernetes用户创建
永远是少年
05-09 2747
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes证书生成 二、Kubernetes用户创建
k8s基础11——安全控制之RBAC用户授权、RBAC用户授权、SA程序授权
百慕卿君博客
05-14 1707
1、K8s安全框架和基本概念。 2、RBAC用户授权用户授权、sa程序授权
K8S用户管理体系介绍
singless的博客
08-17 1267
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户。
k8s部署prometheus+grafana监控.pdf
12-23
k8s部署prometheus+grafana监控.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值