kubernetes用户权限管理详解——普通用户[kubeconfig]

已于 2024-04-01 15:37:40 修改
阅读量1.6k 收藏 7
点赞数 18
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: k8s kubernetes RBAC
于 2024-04-01 15:00:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42236288/article/details/137233455

原文: 学一下icon-default.png?t=N7T8https://suxueit.com/article_detail/tdVymI4BWZdDRfKqnv1y

K8s 的用户分为两类

  • 普通用户:普通用户是指集群外部的人或系统管理,它们不由 Kubernetes 直接管理。普通用户的证书、密钥和权限管理通常由外部系统(如企业的用户目录服务)、证书颁发机构(CA)、第三方验证服务等负责。【kubeconfig就采用的普通用户】

  • 服务账号:服务账户主要用于在 Kubernetes 内部运行的进程和应用程序。它们是由 Kubernetes 自动管理的,并且可以通过 Kubernetes API 分配特定的权限。服务账户与部署它们的命名空间绑定,并且可以被分配权限来访问集群资源。这些账户的密钥和权限是由 Kubernetes 系统自动创建和管理的。【pod的服务需要访问k8s资源时,使用服务账号赋权限】

场景包括

  • 集群管理员:负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作

  • 开发者:在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。

  • 第三方服务:需要与 Kubernetes 集群交互的外部系统或服务,如监控、日志管理等。

准备证书

普通用户需要通过证书进行验证,然后通过RBAC授权。因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建

通过k8s csr申请

配置csr文件,用于生成密钥,配置用户为 test-user

test-user.json

{
  "CN": "test-user",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

生成密钥

cfssl genkey -initca test-user.json | cfssljson -bare test-user

向k8s 申请证书

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: test-user
spec:
  request: $(cat test-user.csr | base64 | tr -d '\n')
  signerName: kubernetes.io/kube-apiserver-client
  usages:
  - client auth
EOF

# 审批证书
kubectl certificate approve test-user
# 导出证书
kubectl get csr test-user -o jsonpath='{.status.certificate}' | base64 --decode > client.crt

使用openssl生成证书
#生成私钥: 用户名.key
openssl genrsa -out test-user-key.pem 2048  
​
#使用刚刚创建的私钥创, 建证书请求签名用户名.csr,在-subj中指定用户和组
openssl req -new -key test-user-key.pem -out test-user.csr -subj "/CN=test-user/O=k8s"
​
#在/etc/kubernetes/pki,找到找到kubernetes集群认证的ca.crt、ca.key。生成最终的证书client.crt,有效期30天
openssl x509 -req -in wang.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out client.crt -days 30
​
使用cfssl生成证书

配置一个ca配置文件

通过kubernetes 这个配置进行签发,有效期720小时,30天

{
 "signing": {
   "default": {
     "expiry": "438000h"
   },
   "profiles": {
     "kubernetes": {
       "usages": [
           "client auth"
       ],
       "expiry": "720h"
     }
   }
 }
}
​

签发证书

# 在上面的使用k8s 生成证书中
#已经用cfssl生成了密钥[test-user-key.pem]和签名【test-user.csr】文件
# 下面直接用k8s的证书签发client证书即可
​
cfssl sign -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config ca-config.json -profile=kubernetes test-user.csr | cfssljson -bare client123
​
​

创建用户

kubeconfig参数表示将设置应用于的文件,默认是 /root/.kube/config

设置一个新集群

如果在原有集群操作,则跳过这步

kubectl config set-cluster k8s \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://172.16.70.149:6443 \
--kubeconfig=test-config

  • --certificate-authority: 集群的ca证书

    • 如果采用kubeadm创建的集群该证书在 /etc/kubernetes/pki/ca.crt

    • 二进制安装的则是自己安装集群时生成的ca证书

  • --embed-certs: 是否将证书内嵌,如果为false则生成的文件保留的是 证书的路径

  • --server: 集群api-server的地址

设置一个用户

设置用户 test-user

kubectl config set-credentials test-user \
--client-certificate=./client.pem \
--client-key=./test-user-key.pem \
--embed-certs=true \
--kubeconfig=test-config

  • --client-certificate: 在前面生成的客户端的证书

  • --client-key:在前面生成的 客户端公钥,在前面生成的

设置上下文

设置一个上下文,上下文名称为 default,指定集群为k8s,用户为test-user

kubectl config set-context default \
--cluster=k8s \ # 如果第一步创建集群跳过了,这里需要填写原有config中的集群
--user="test-user" \
--kubeconfig=test-config

切换上下文

设定当前使用的上下文

kubectl config use-context default --kubeconfig=test-config

为用户授权

1、创建一个test角色,给出在kube-system 这个命令空间list pod的权限,

2、将角色与用户进行绑定

cat <<EOF | kubectl apply -f -
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: kube-system
  name: test
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-binding
  namespace: kube-system
subjects:
- kind: User
  name: test-user
  apiGroup: ""
roleRef:
  kind: Role
  name: test
  apiGroup: ""
EOF

演示

演示

 kubectl get pods -n kube-system  --kubeconfig=test-config

图片

# 这里只给了 list权限,因此get单个pod就提示权限不足了kubectl get pods -n kube-system  --kubeconfig=test-config calico-node-8r9nwError from server (Forbidden): pods "calico-node-8r9nw" is forbidden: User "test-user" cannot get resource "pods" in API group "" in the namespace "kube-system"
KubeCarrier项目介绍——让复杂的Kubernetes集群运维变得更简单
AI天才研究院
07-31 2404
1.KubeCarrier 是什么?KubeCarrier 是一个开源的企业级 Kubernetes 集群自动化管理系统。它可以管理多个 Kubernetes 集群,实现对多个 Kubernetes 集群资源(比如 Pod、Service、Ingress)的编排调度、监控告警、审计、授权等功能,并通过 Dashboard UI 和 CLI 来提供丰富的用户体验。2.为什么选择 KubeCarrier?大规模集群管理。
K8S--权限管理RBAC/基于kube-config文件登录
weixin_44515412的博客
07-04 323
扩展:RBAC RBAC是基于角色的访问控制(Role-Based Access Control) https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/ #使用RBAC鉴权 https://kubernetes.io/zh/docs/reference/access-authn-authz/authorization/ #鉴权概述
Kubernetes的四种用户部署场景
weixin_33759269的博客
10-11 635
本文讲的是Kubernetes的四种用户部署场景【编者的话】这是一篇介绍生产环境使用Kubernetes用户部署场景。【深入浅出学习 etcd】etcd为分布式系统提供可靠、高效的配置管理服务,在Docker、Kubernetes、Mesos等平台中扮演了越来越重要的角色。作为2013年开始的项目,它还很年轻,官方文档中缺乏实现上全面、系统的介绍,本课...
Kubernetes 集群访问管理:深入理解 kubeconfig 文件
最新发布
gitblog_00475的博客
06-09 342
Kubernetes 集群访问管理:深入理解 kubeconfig 文件 什么是 kubeconfig 文件 kubeconfig 文件是 Kubernetes 中用于管理集群访问配置的核心文件。它采用 YAML 格式,包含了访问 Kubernetes 集群所需的所有信息,包括: 集群端点地址 认证凭据 上下文信息 命名空间设置 kubectl 命令行工具默认会在 $HOME/.kube 目录...
Kubernetes中的用户权限管理实战【详细步骤】
marlinlm的博客
12-23 1917
逐步介绍如何为Kubernetes集群进行用户权限管理
Kubernetes之kuberconfig--普通用户授权kubernetes集群
saynaihe的博客
10-10 1469
背景: 是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig
Kubernetes kubectl config 对集群做配置
小楼一夜听春雨,深巷明朝卖杏花
10-22 1248
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
Kubernetes权限管理详解
zou8944的博客
12-03 2010
前面介绍过Kubernetes的结构组成,其中API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。 如上图,对来自外部的请求,Api Server会经过三个组件 Authentication:认证,验证用户的合法性,并从中提取出用户信息,如用户名、组等 Authorization:鉴权,鉴定该用户是否有权限访问指定资源 Admis
Kubernetesk8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
2301_82056337的博客
04-27 1177
–server=https://192.168.59.142:6443——masterIP替换。
Kubernetes——part7 安全管理
渔阳的博客
10-31 378
学习目标这一节,我们从 基础知识、认证流程、小结 三个方面来学习。资源操作简介解析。
Kubernetes1.6集群部署完全指南——二进制文件部署开启TLS基于CentOS7
03-03
3. **创建 kubeconfig 文件**:根据生成的证书,创建管理员和其他用户所需的 `kubeconfig` 文件。 **步骤三:部署 etcd 集群** 1. **准备 TLS 配置**:使用先前生成的证书来配置 etcd 的 TLS 连接。 2. **配置 ...
kubernetes资源管理
博主很懒~
11-15 232
YAML是一个类似 XML、JSON 的标记性语言。它强调以数据为中心,并不是以标识语言为重点。因而YAML本身的定义比较简单,号称"一种人性化的数据格式语言"。<wangqing>wangqing:age: 15大小写敏感使用缩进表示层级关系缩进不允许使用tab,只允许空格( 低版本限制 )缩进的空格数不重要,只要相同层级的元素左对齐即可'#'表示注释纯量:单个的、不可再分的值。
一文清晰理解 kubeconfig | 使用 kubeconfig 进行多集群管理 | context关系理解
aifeier的博客
01-02 3371
一文直接学会如何通过配置 kubeconfig 管理多集群
kubernetes中.kube/config文件生成
paterl的博客
10-11 814
自己生成一个kubeconfig文件
12. Kubernetes进阶篇-权限控制
weixin_40901913的博客
07-25 669
是为 Pod 定义身份和权限的抽象。每个都关联一个特定的命名空间,并为该命名空间内的 Pod 提供一个唯一的身份。还提供了对 Kubernetes API 的认证和授权。的是一个用于自动将多个的权限规则聚合到一个中的功能。可以创建一个主,它自动包含了所有匹配特定标签选择器的的权限规则。QoS(Quality of Service,服务质量)是一种网络技术,它允许通过网络传输的数据获得不同的优先级。
k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1170
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
普通用户自定义创建 Kubernetes 权限
愿许浪尽天涯的博客
06-12 2233
需求: 由于开发同事需要在 K8s 集群内查看 Pod 的应用日志,为了防止开发同事在集群内误操作,我们这里通过配置 UserAccount 的方式将开发同事的账号权限降低;以此来提升集群的安全性。
Kubernetes kubeconfig配置文件
qq_29860591的博客
07-21 1003
因为部署的jenkins和k8s不在同一台服务器,且不能ssh过去,运维朋友告诉我,可以把配置文件移动过去,在安装kubectl就能执行了,下面就简单描述一下原因。 在node节点上可以执行kubectl命令吗? localhost:8080 这个端口是k8s api(kube-apiserver非安全端口)的端口,在master上面可以执行成功其实走的是配置文件。但是在node上连接的是本地...
Kubernetes 的配置 kubeconfig
小侠客的专栏
10-23 3216
kubernetes配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值