k8s权限管理学习与配置
ztj100 2024-11-23 00:03 51 浏览 0 评论
应用场景
- A.dashboard赋权,授权对应的用户资源
- B.针对不同用户访问不同的资源
- C.实现访问多级集群使用kubectl config 命令切换集群上下问实现
知识要点
1.k8s的用户介绍
2.k8s角色
3.kubeconfig介绍
4 实现
介绍
K8S中有两种用户
- k8s内部服务之间访问的账号ServiceAccount (管理程序之间的访问)
- k8s外部用户访问集群的账号User (管理操作人的访问)
User&ServiceAccount的区别:
1 User是人来使用而ServiceAccount是为某个资源/程序/服务使用的
2 K8S用户的创建管理都无需与K8S API交互,K8S所能认知的只有一个用户名。ServiceAccount是由K8S管理创建
3 User独立在K8S之外并且需要在全局唯一,而ServiceAccount作为K8S内部的某种资源,是存在于某个命名空间之中的,在不同命名空间中的同名ServiceAccount被认为是不同的资源
a k8s的用户创建
root@dev-damon-node1:~/k8s-user# openssl genrsa -out wadequ.key 2048
root@dev-damon-node1:~/k8s-user# ls
wadequ.keyb 创建证书签名请求
root@dev-damon-node1:~/k8s-user# openssl req -new -key wadequ.key -out wadequ.csr -subj "/CN=wadequ/O=MGM"
root@dev-damon-node1:~/k8s-user# ls
wadequ.csr wadequ.keyc 集群证书签署
- -CA和-CAkey参数为集群CA证书所在位置,
- -days参数指定此证书的过期时间,这里为365天
root@dev-damon-node1:~/k8s-user# openssl x509 -req -in wadequ.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out wadequ.crt -days 3650
Certificate request self-signature ok
subject=CN = wadequ, O = MGM
root@dev-damon-node1:~/k8s-user# ls
wadequ.crt wadequ.csr wadequ.key到此 用户创建完成
k8s的角色管理
k8s是基于RBAC(Role-Based Access Control)角色实现访问控制,
官网参考资料:
https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/
主要涉及4个Kind
- Role
- ClusterRole
- RoleBinding
- ClusterRoleBinding
Role & ClusterRole(Role 只能访问所属名字空间的资源,ClusterRole可以访问所以名字空间的资源)
Role 或 ClusterRole 中包含一组代表相关权限的规则
Role是用来在某个名字空间内设置访问权限。所以创建 Role 时必须指定该 Role 所属的名字空间。
ClusterRole 则是一个集群作用域的资源。
基于角色的的创建(针对namespace的方法)
a 创建sa
root@dev-damon-node1:~# cat sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: damontest
namespace: damon-zkb 创建role
apiVersion: v1
kind: ServiceAccount
metadata:
name: damontest
namespace: damon-zk
root@dev-damon-node1:~# cat role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: damon-zk
name: damon-test
rules:
- apiGroups: [""] # "" 空字符串,表示核心 API 群
resources: ["pods","pods/log"]
verbs: ["get", "watch", "list"]
- apiGroups: ["extensions","apps"] # "" 空字符串,表示核心 API 群
resources: ["deployments"]
verbs: ["get", "watch", "list","create","update","patch","delete"]c 创建rolebinding
root@dev-damon-node1:~# cat rolebind.yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: damon-test
namespace: damon-zk
subjects:
- kind: ServiceAccount //这里使用sa的账号 可切换为User类型的账号(上面创建的账号)
name: damontest
namespace: damon-zk
roleRef:
kind: Role
name: damon-test
apiGroup: rbac.authorization.k8s.io基于集群角色创建
创建clusterrole
apiVersion: rbac.authorization.k8s.io/v1
# 指定类型为ClusterRole
kind: ClusterRole
metadata:
# "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
name: manger-cluster-role
rules:
- apiGroups: ["","apps"] "" 标明 core API 组
#resources指定此角色可以访问操作那些资源 *代表所有 这里配置只能操作secrets
resources: ["secrets"]
#verbs指资源的具体操作的类型例如 create get delete list update edit watch exec *代表所有
verbs: ["get", "watch", "list"]
创建clusterrolebinding
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: dashboard-clusterrolebinding
subjects:
- kind: User
name: "wadequ" //openssl 创建的用户
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: manger-cluster-role
apiGroup: rbac.authorization.k8s.io至此创建完成
kubeconfig文件介绍
主要组成部分
- clusters (集群)
- users(用户)
- context(上下文)
命令
root@dev-damon-node1:~# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://10.41.17.2:6443
name: kubernetes
contexts:
- context:
cluster: kubernetes
user: kubernetes-admin
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
user:
client-certificate-data: REDACTED
client-key-data: REDACTEDkubectl config --help
set-context 指定当前上下文
current-context 查看当前的上下文
get-contexts 查看指定上下文信息
use-context 使用上下文
rename-context 重命名上下文
delete-context 删除指定上下文
delete-cluster 删除集群
set-cluster 创建集群
get-clusters 查询集群
set-credentials 配置用户信息
view 查看kubeconfig 配置文件内容root@dev-damon-node1:~# kubectl config current-context
kubernetes-admin@kubernetes
创建集群配置集群访问证书
kubectl config set-cluster k8s-test-cluster --server=https://192.168.0.160:6443 --embed-certs --certificate-authority=/medcrab/data/ca.crt
创建用户
kubectl config set-credentials jim --client-certificate=/medcrab/data/jim.crt --client-key=/medcrab/data/jim.key
创建上下文
kubectl config set-context jim@k8s-test-cluster --cluster=k8s-test-cluster --namespace=team2 --user=jim
指定上下文开始使用
kubectl get pods --context=jim@k8s-test-cluster
实战演示 创建wadequ的账户访问集群
//1.创建集群配置集群访问证书
kubectl config set-cluster k8s-damon-wadequ --server=https://10.41.17.2:6443 --embed-certs --certificate-authority=/etc/kubernetes/pki/ca.crt
root@dev-damon-node1:~/k8s-user# openssl genrsa -out wadequ.key 2048
root@dev-damon-node1:~/k8s-user# ls
wadequ.key
root@dev-damon-node1:~/k8s-user# openssl req -new -key wadequ.key -out wadequ.csr -subj "/CN=wadequ/O=MGM"
root@dev-damon-node1:~/k8s-user# ls
wadequ.csr wadequ.key
root@dev-damon-node1:~/k8s-user# openssl x509 -req -in wadequ.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out wadequ.crt -days 3650
Certificate request self-signature ok
subject=CN = wadequ, O = MGM
root@dev-damon-node1:~/k8s-user# ls
wadequ.crt wadequ.csr wadequ.key
//上面提示信息为 未对用户镜像相关权限授权
root@dev-damon-node1:~/k8s-user# cat damo.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: damon-mysql
name: devops-role
rules:
- apiGroups: ["","apps","batch","autoscaling"]
resources: ["*"]
verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: devops-role-binding
namespace: damon-mysql
subjects:
- kind: User
name: wadequ
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: devops-role
apiGroup: rbac.authorization.k8s.io
//验证xinxi
root@dev-damon-node1:~/k8s-user# kubectl get role -n damon-mysql
NAME CREATED AT
devops-role 2023-12-27T07:54:23Z
root@dev-damon-node1:~/k8s-user# kubectl get rolebinding -n damon-mysql
NAME ROLE AGE
devops-role-binding Role/devops-role 67s
//2.创建集群上下文相关信息
root@dev-damon-node1:~/k8s-user# kubectl config set-credentials wadequ --client-certificate=./wadequ.crt --client-key=./wadequ.key
User "wadequ" set.
root@dev-damon-node1:~/k8s-user# kubectl config set-context wadequ@k8s-damon-wadequ --cluster=k8s-damon-wadequ --namespace=damon-mysql --user=wadequ
Context "wadequ@k8s-damon-wadequ" created.
//3 验证访问
root@dev-damon-node1:~/k8s-user# kubectl get pod --context=wadequ@k8s-damon-wadequ
NAME READY STATUS RESTARTS AGE
mysql-primary-0 1/1 Terminating 3 152d
mysql-secondary-0 1/1 Terminating 4 152d
//4查看变化信息context
root@dev-damon-node1:~/k8s-user# kubectl config view
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://10.41.17.2:6443
name: k8s-damon-wadequ
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://10.41.17.2:6443
name: kubernetes
contexts:
- context:
cluster: kubernetes
user: kubernetes-admin
name: kubernetes-admin@kubernetes
- context:
cluster: k8s-damon-wadequ
namespace: damon-mysql
user: wadequ
name: wadequ@k8s-damon-wadequ
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
- name: wadequ
user:
client-certificate: /root/k8s-user/wadequ.crt
client-key: /root/k8s-user/wadequ.key验证以及切换上下文
//切换上下文
root@dev-damon-node1:~/k8s-user# kubectl config use-context wadequ@k8s-damon-wadequ
Switched to context "wadequ@k8s-damon-wadequ".
//查看当前上下文
root@dev-damon-node1:~/k8s-user# kubectl config current-context
wadequ@k8s-damon-wadequ
//验证权限pod
root@dev-damon-node1:~/k8s-user# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysql-primary-0 1/1 Terminating 3 152d
mysql-secondary-0 1/1 Terminating 4 152d
root@dev-damon-node1:~/k8s-user# kubectl get pod -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
mysql-primary-0 1/1 Terminating 3 152d 172.16.201.141 dev-damon-node2 <none> <none>
mysql-secondary-0 1/1 Terminating 4 152d 172.16.201.152相关推荐
- sharding-jdbc实现`分库分表`与`读写分离`
-
一、前言本文将基于以下环境整合...
- 三分钟了解mysql中主键、外键、非空、唯一、默认约束是什么
-
在数据库中,数据表是数据库中最重要、最基本的操作对象,是数据存储的基本单位。数据表被定义为列的集合,数据在表中是按照行和列的格式来存储的。每一行代表一条唯一的记录,每一列代表记录中的一个域。...
- MySQL8行级锁_mysql如何加行级锁
-
MySQL8行级锁版本:8.0.34基本概念...
- mysql使用小技巧_mysql使用入门
-
1、MySQL中有许多很实用的函数,好好利用它们可以省去很多时间:group_concat()将取到的值用逗号连接,可以这么用:selectgroup_concat(distinctid)fr...
- MySQL/MariaDB中如何支持全部的Unicode?
-
永远不要在MySQL中使用utf8,并且始终使用utf8mb4。utf8mb4介绍MySQL/MariaDB中,utf8字符集并不是对Unicode的真正实现,即不是真正的UTF-8编码,因...
- 聊聊 MySQL Server 可执行注释,你懂了吗?
-
前言MySQLServer当前支持如下3种注释风格:...
- MySQL系列-源码编译安装(v5.7.34)
-
一、系统环境要求...
- MySQL的锁就锁住我啦!与腾讯大佬的技术交谈,是我小看它了
-
对酒当歌,人生几何!朝朝暮暮,唯有己脱。苦苦寻觅找工作之间,殊不知今日之事乃我心之痛,难道是我不配拥有工作嘛。自面试后他所谓的等待都过去一段时日,可惜在下京东上的小金库都要见低啦。每每想到不由心中一...
- MySQL字符问题_mysql中字符串的位置
-
中文写入乱码问题:我输入的中文编码是urf8的,建的库是urf8的,但是插入mysql总是乱码,一堆"???????????????????????"我用的是ibatis,终于找到原因了,我是这么解决...
- 深圳尚学堂:mysql基本sql语句大全(三)
-
数据开发-经典1.按姓氏笔画排序:Select*FromTableNameOrderByCustomerNameCollateChinese_PRC_Stroke_ci_as//从少...
- MySQL进行行级锁的?一会next-key锁,一会间隙锁,一会记录锁?
-
大家好,是不是很多人都对MySQL加行级锁的规则搞的迷迷糊糊,一会是next-key锁,一会是间隙锁,一会又是记录锁。坦白说,确实还挺复杂的,但是好在我找点了点规律,也知道如何如何用命令分析加...
- 一文讲清怎么利用Python Django实现Excel数据表的导入导出功能
-
摘要:Python作为一门简单易学且功能强大的编程语言,广受程序员、数据分析师和AI工程师的青睐。本文系统讲解了如何使用Python的Django框架结合openpyxl库实现Excel...
- 用DataX实现两个MySQL实例间的数据同步
-
DataXDataX使用Java实现。如果可以实现数据库实例之间准实时的...
- MySQL数据库知识_mysql数据库基础知识
-
MySQL是一种关系型数据库管理系统;那废话不多说,直接上自己以前学习整理文档:查看数据库命令:(1).查看存储过程状态:showprocedurestatus;(2).显示系统变量:show...
- 如何为MySQL中的JSON字段设置索引
-
背景MySQL在2015年中发布的5.7.8版本中首次引入了JSON数据类型。自此,它成了一种逃离严格列定义的方式,可以存储各种形状和大小的JSON文档,例如审计日志、配置信息、第三方数据包、用户自定...
欢迎 你 发表评论:
- 一周热门
-
-
MySQL中这14个小玩意,让人眼前一亮!
-
旗舰机新标杆 OPPO Find X2系列正式发布 售价5499元起
-
【VueTorrent】一款吊炸天的qBittorrent主题,人人都可用
-
面试官:使用int类型做加减操作,是线程安全吗
-
C++编程知识:ToString()字符串转换你用正确了吗?
-
【Spring Boot】WebSocket 的 6 种集成方式
-
PyTorch 深度学习实战(26):多目标强化学习Multi-Objective RL
-
pytorch中的 scatter_()函数使用和详解
-
与 Java 17 相比,Java 21 究竟有多快?
-
基于TensorRT_LLM的大模型推理加速与OpenAI兼容服务优化
-
- 最近发表
- 标签列表
-
- idea eval reset (50)
- vue dispatch (70)
- update canceled (42)
- order by asc (53)
- spring gateway (67)
- 简单代码编程 贪吃蛇 (40)
- transforms.resize (33)
- redisson trylock (35)
- 卸载node (35)
- np.reshape (33)
- torch.arange (34)
- npm 源 (35)
- vue3 deep (35)
- win10 ssh (35)
- vue foreach (34)
- idea设置编码为utf8 (35)
- vue 数组添加元素 (34)
- std find (34)
- tablefield注解用途 (35)
- python str转json (34)
- java websocket客户端 (34)
- tensor.view (34)
- java jackson (34)
- vmware17pro最新密钥 (34)
- mysql单表最大数据量 (35)