非root用户管理k8s和docker容器

最新推荐文章于 2024-08-07 10:21:58 发布
最新推荐文章于 2024-08-07 10:21:58 发布
阅读量2.2k 收藏 11
点赞数 3
分类专栏: # Docker # Kubernetes 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfw_666666/article/details/125085795
版权

一、非root用户管理k8s集群

1.1 创建一个普通用户

useradd ops

1.2 修改集群配置

OPS机器关联kubectl进行如下操作:

root用户执行:

mkdir -p /home/ops/.kube/
cp ~/.kube/config  /home/ops/.kube/
chown deployer:deployer /home/ops/.kube
chown deployer:deployer /home/ops/.kube/config

ops用户执行:

echo  "export KUBECONFIG=/home/ops/.kube/config" >> ~/.bash_profile
echo "source <(kubectl completion bash)" >> /home/ops/.bashrc
source  ~/.bash_profile

1.3 验证

[root@k8s-master1 ~]# su ops
[ops@k8s-master1 root]$ kubectl get node
NAME          STATUS   ROLES                  AGE   VERSION
k8s-master1   Ready    control-plane,master   42d   v1.22.0
k8s-master2   Ready    control-plane,master   42d   v1.22.0
k8s-master3   Ready    control-plane,master   42d   v1.22.0
k8s-node1     Ready    <none>                 42d   v1.22.0
k8s-node2     Ready    <none>                 42d   v1.22.0
k8s-node3     Ready    <none>                 42d   v1.22.0
[ops@k8s-master1 root]$ kubectl get ns
NAME              STATUS   AGE
default           Active   42d
kube-node-lease   Active   42d
kube-public       Active   42d
kube-system       Active   42d
monitoring        Active   42d

此时已经可以使用ops用户来管理k8s集群(若需要针对ops用户指定ns以及资源对象拥有特定权限,可以使用RBAC来限制)

二、非root用户管理docker

由于docker软件安装好之后,自动会创建好docker用户组,所以这里只需要创建好管理docer容器的用户就好。

[root@k8s-master1 ~]# cat /etc/group
....................
docker:x:995:

首先来看一下正常的普通用户管理docker是什么样的

切换dev用户执行docker命令,报错如下:

[root@k8s-master1 ~]# su dev
[dev@k8s-master1 root]$ docker ps
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json": dial unix /var/run/docker.sock: connect: permission denied
[dev@k8s-master1 root]$ docker images
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/images/json": dial unix /var/run/docker.sock: connect: permission denied

现在我们把ops用户加入docker用户组中

usermod -g docker ops

接下来切换ops用户来查看一下效果:

[root@k8s-master1 ~]# su ops
[ops@k8s-master1 root]$ docker version
Client: Docker Engine - Community
 Version:           20.10.12
 API version:       1.39
 Go version:        go1.16.12
 Git commit:        e91ed57
 Built:             Mon Dec 13 11:45:41 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          18.09.9
  API version:      1.39 (minimum version 1.12)
  Go version:       go1.11.13
  Git commit:       039a7df
  Built:            Wed Sep  4 16:22:32 2019
  OS/Arch:          linux/amd64
  Experimental:     false
[ops@k8s-master1 root]$ docker images
REPOSITORY                                                        TAG       IMAGE ID       CREATED         SIZE
rancher/mirrored-flannelcni-flannel                               v0.17.0   9247abf08677   3 months ago    59.8MB
rancher/mirrored-flannelcni-flannel                               v0.16.3   8cb5de74f107   4 months ago    59.7MB
rancher/mirrored-flannelcni-flannel-cni-plugin                    v1.0.1    ac40ce625740   4 months ago    8.1MB
quay.io/prometheus/node-exporter                                  v1.3.1    1dbe0e931976   5 months ago    20.9MB
registry.aliyuncs.com/google_containers/kube-apiserver            v1.22.0   838d692cbe28   10 months ago   128MB
registry.aliyuncs.com/google_containers/kube-controller-manager   v1.22.0   5344f96781f4   10 months ago   122MB
registry.aliyuncs.com/google_containers/kube-scheduler            v1.22.0   3db3d153007f   10 months ago   52.7MB
registry.aliyuncs.com/google_containers/kube-proxy                v1.22.0   bbad1636b30d   10 months ago   104MB
registry.aliyuncs.com/google_containers/etcd                      3.5.0-0   004811815584   11 months ago   295MB
registry.aliyuncs.com/google_containers/coredns                   v1.8.4    8d147537fb7d   12 months ago   47.6MB
registry.aliyuncs.com/google_containers/pause                     3.5       ed210e3e4a5b   14 months ago   683kB
[ops@k8s-master1 root]$

至此就完成了非root用户管理docker容器了

CN-FuWei
关注
专栏目录
usernetes:可在$ HOME下安装的Kubernetes,没有root特权
02-02
usernetes:可在$ HOME下安装的Kubernetes,没有root特权
如何用root账号安装k8s集群
jiangbb8686的博客
07-29 1457
使用kubeadm和kubespray: 如果你想要在多节点环境下安装Kubernetes集群,可以使用kubeadm和kubespray组合。在大多数情况下,为了安装 KubernetesK8s)集群,需要具有root权限或者以root身份执行某些操作,例如安装软件包和配置系统级别的设置。在生产环境中,为了避免潜在的权限问题,建议寻求管理员的帮助来安装Kubernetes集群。使用Minikube: Minikube是一个用于在本地机器上运行单节点Kubernetes集群的工具,它不需要root权限。
如何让root用户使用docker命令启动镜像
最新发布
满天点点星辰的博客
08-07 967
普通用户启动docker镜像报错:permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json?all=1&filters=%7B%22label%22%3A%7B%22com.docker.compose.config-hash%22%3Atru
k8s(RBAC)用户管理
weixin_41650708的博客
10-26 254
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。在k8s中,service account(简称sa)是给集群中的进程使用的,当集群中的pod或进程需要跟apiserver申请调用资源时会使用到sa前面说的service account在k8s集群中是给pod使用的,这里介绍的User Account,是给我们自己,也就是给客户端用的。
K8S用户管理体系介绍
singless的博客
08-17 1420
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s管理人员使用的账户,也就是我们使用的账户。
Kubernetes运维篇】RBAC之创建集群用户管理K8S
秦子腾
07-15 6318
用户加入集群用户中,用来认证apiserver的连接。用户加入集群用户中,用来认证apiserver的连接。系统用户提交给新来的运维同事等,让新来的同事只有在。的权限,因为是查看所有命名空间Pod,所以这里使用。第九步:切换lisi用户测试权限。可以切换后,先切换回来管理用户。第九步:在Linux中添加一个。可以切换后,先切换回来管理用户。第十步:在Linux中添加一个。第二步:生成一个证书请求。第二步:生成一个证书请求。用户,默认没有任何权限。用户,默认没有任何权限。用户,测试是否有权限。
使用 Kubernetes 运行 non-root .NET 容器
dotNET跨平台
04-23 453
点击上方蓝字关注我们(本文阅读时间:10分钟)翻译自 Richard Lander 的博客Rootless或 non-root Linux 容器一直是 .NET 容器团队最需要的功能。我们最近宣布了所有 .NET 8 容器镜像都可以通过一行代码配置为 non-root 用户。今天的文章将介绍如何使用 Kubernetes 处理 non-root 托管。您可以尝试使用我们的 non-root Ku...
dockerk8s基础介绍
swimming_in_IT_的博客
04-24 4214
通常称为K8sK8s是将8个字母“ubernete”替换为“8”的缩写)是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力,包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制,以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具,这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节;
全网最系统、最清晰!深入微服务架构——DockerK8s详解,助你大厂无忧
2301_79655496的博客
04-19 1046
总而言之,面试官问来问去,问的那些Redis知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />总而言之,面试官问来问去,问的那些Redis知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习。
centos系统kubeadm安装K8S_v1.27.x容器使用docker(K8S_v1.24版本以后依然使用docker容器管理)
qq_759035366的博客
08-12 907
kubernetes中Service有两种代理模型,一种是基于iptables的,一种是基于ipvs,两者对比ipvs的性能要高,如果想要使用ipvs模型,需要手动载入ipvs模块。type: NodePort #新添加的,下面有一个删除了,注意缩进了2个空格。vim recommended.yaml #需要修改的信息在下面这段中。点击上面的网址打开新的网页,下载你需要yaml插件。这里下载对应的文件,文件需要跟K8S版本对应上。####Centos系统。主机IP 主机名规划。
K8S必备知识--docker的介绍以及安装
景天科技苑
01-02 1118
开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现,足以支持 Docker 命令,镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,并且提供了快速部署的方式。最常使用的 Registry 公开服务是官方的 Docker Hub ,这也是默认的 Registry,Docker改变了运维,环境的一致性让运维变得更加简单,同时热更新的支持让运维不再需要半夜加班部署更新,
使用K8s管理有状态服务
08-15
普元云计算架构师宋潇男,分享了Kubernetes中支持有状态服务的相关特性和普元MySQL集群服务的相关案例。
Docker实验(十三)K8s管理Docker集群
qq_39376481的博客
07-10 1804
我回家来了再写
一文带你认识Kubernetes中的容器:non-root containers
qq_40404477的博客
04-02 768
容器指的是不以root权限运行的容器,它可以更严格的限制程序运行权限,保障程序运行安全。
K8s管理
qq_42747099的博客
04-15 457
节点管理 删除节点 #设置node-1节点不参与pod的调度 [root@master ~]# kubectl cordon node-1 node/node-1 cordoned [root@master ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION master...
K8s安全管理
weixin_54720351的博客
04-06 633
k8s 安全管理
一份超实用的 Docker 容器 root 启动实战教程
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
12-19 277
本文总结了业务容器 root 启动改造实战经验,强调了 root 启动的重要性和一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改和构建过程,以满足 root 启动要求,特别提到了 CoreDNS 和 Consul 镜像的处理方式。由来客户安全要求业务容器改为 root 启动,很多容...
K8s- 运行Pod时的root用户root用户的安全相关配置
dzqxwzoe的博客
05-30 1300
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2660
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值