kubernetes创建用户
创建k8s User Account
使用openssl方法创建普通用户
准备工作
1
2
3
4
|
mkdir /root/pki/ 将k 8 s ca.pem ca-key.pem 证书拷贝到此目录 cp /opt/kubernetes/ssl/ca-key.pem /root/pki/ cp /opt/kubernetes/ssl/ca.pem /root/pki/ |
一、创建证书
1.创建user私钥
1
|
(umask 077 ;openssl genrsa -out dev.key 2048 ) |
2.创建证书签署请求
O=组织信息,CN=用户名
1
|
openssl req -new -key dev.key -out dev.csr -subj "/O=k8s/CN=dev" |
3.签署证书
1
2
3
|
openssl x 509 -req -in dev.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out dev.crt -days 365 Signature ok subject=/O=k 8 s/CN=dev |
二、创建配置文件
1
2
3
4
|
kubectl config set-cluster --kubeconfig=/PATH/TO/SOMEFILE #集群配置 kubectl config set-credentials NAME --kubeconfig=/PATH/TO/SOMEFILE #用户配置 kubectl config set-context #context配置 kubectl config use-context #切换context |
1
2
3
|
* --embed-certs=true的作用是不在配置文件中显示证书信息。 * --kubeconfig=/root/dev.conf用于创建新的配置文件,如果不加此选项,则内容会添加到家目录下.kube/config文件中,可以使用use-context来切换不同的用户管理k 8 s集群。 * context简单的理解就是用什么用户来管理哪个集群,即用户和集群的结合。 |
创建集群配置
1
2
3
4
|
kubectl config set-cluster k 8 s --server=https:// 192.168 . 124.61: 6443 \ --certificate-authority=ca.pem \ --embed-certs=true \ --kubeconfig=/root/dev.conf |
创建用户配置
1
2
3
4
5
|
kubectl config set-credentials dev \ --client-certificate=dev.crt \ --client-key=dev.key \ --embed-certs=true \ --kubeconfig=/root/dev.conf |
创建context配置
1
2
3
4
|
kubectl config set-context dev@k 8 s \ --cluster=k 8 s \ --user=dev \ --kubeconfig=/root/dev.conf |
切换context
1
2
|
kubectl config use-context dev@k 8 s --kubeconfig=/root/dev.conf kubectl config view --kubeconfig=/root/dev.conf |
创建系统用户
1
2
3
4
5
|
useradd dev mkdir -p /home/dev/.kube cp /root/dev.conf /home/dev/.kube/config chown dev.dev -R /home/dev/ su - dev |
k8s验证文件
kubectl get pod
这个时候不成功是因为没有进行权限绑定
创建Role
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
root@k 8 s-master:~# cat > pods-reader.yaml <<EOF apiVersion: rbac.authorization.k 8 s.io/v 1 kind: Role metadata: name: pods-reader rules: - apiGroups: - "" resources: - pods verbs: - get - list - watch EOF |
创建Rolebinding
用户dev和role pods-reader的绑定
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
root@k 8 s-master:~# cat >test-pods-reader.yaml <<EOF apiVersion: rbac.authorization.k 8 s.io/v 1 kind: RoleBinding metadata: name: cbmljs-pods-reader roleRef: apiGroup: rbac.authorization.k 8 s.io kind: Role name: pods-reader subjects: - apiGroup: rbac.authorization.k 8 s.io kind: User name: dev EOF |
到这一步就可以进行验证了
kubectl get pod
我们是可以查看查看default命名空间的pod,但是其他空间的pod是无法查看的。
创建ClusterRole
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
root@k 8 s-master:~# cat cluster-reader.yaml apiVersion: rbac.authorization.k 8 s.io/v 1 kind: ClusterRole metadata: name: cluster-reader rules: - apiGroups: - "" resources: - pods verbs: - get - list - watch |
创建ClusterRoleBinding
1
2
3
4
5
6
7
8
9
10
11
12
13
|
root@k 8 s-master:~# cat cbmljs-read-all-pod.yaml apiVersion: rbac.authorization.k 8 s.io/v 1 beta 1 kind: ClusterRoleBinding metadata: name: billy-read-all-pods roleRef: apiGroup: rbac.authorization.k 8 s.io kind: ClusterRole name: cluster-reader subjects: - apiGroup: rbac.authorization.k 8 s.io kind: User name: dev |
验证结果
kubectl get pod --all-namespaces
就可以看到所有命名空间的pod了.
权限绑定指定的namespace
也可以使用下面方法进行绑定
kubectl get clusterrole 查看系统自带角色
1
|
kubectl create rolebinding devuser-admin-rolebinding(rolebinding的名字) --clusterrole=admin(clusterrole的名字,admin在k 8 s所有namespace下都有最高权限) --user=devuser(将admin的权限赋予devuser用户) --namespace=dev(范围是dev这个namespace下) 即dev |
扩展:
kubectl api-resources 可以查看apiGroups
示例:
创建集群角色
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
cat clusterrole.yaml apiVersion: rbac.authorization.k 8 s.io/v 1 kind: ClusterRole metadata: name: test-clusterrole rules: - apiGroups: [ "" ] resources: [ "pods" ] verbs: [ "get" , "list" , "watch" , "create" , "update" , "patch" , "delete" ] - apiGroups: [ "extensions" , "apps" ] resources: [ "deployments" ] verbs: [ "get" , "watch" , "list" ] - apiGroups: [ "" ] resources: [ "pods/exec" ] verbs: [ "get" , "list" , "watch" , "create" , "update" , "patch" , "delete" ] - apiGroups: [ "" ] resources: [ "pods/log" ] verbs: [ "get" , "list" , "watch" , "create" , "update" , "patch" , "delete" ] - apiGroups: [ "" ] resources: [ "namespaces" , "namespaces/status" ] verbs: [ "*" ] # 也可以使用[ '*' ] - apiGroups: [ "" , "apps" , "extensions" , "apiextensions.k8s.io" ] resources: [ "role" , "replicasets" , "deployments" , "customresourcedefinitions" , "configmaps" ] verbs: [ "*" ] |
集群绑定
1
2
3
4
5
6
7
8
9
10
11
12
13
|
[root@master role]# cat test-classbind.yaml apiVersion: rbac.authorization.k 8 s.io/v 1 beta 1 kind: ClusterRoleBinding metadata: name: test-all-pods roleRef: apiGroup: rbac.authorization.k 8 s.io kind: ClusterRole name: test-clusterrole subjects: - apiGroup: rbac.authorization.k 8 s.io kind: User name: test |
参考:
https://blog.csdn.net/cbmljs/article/details/102953428
kubernetes创建用户的更多相关文章
- kubernetes 创建用户配置文件来访问集群API
创建一个账号 kubectl create serviceaccount def-ns-admin 绑定集群权限 kubectl create rolebinding def-ns-admin --c ...
- mysql 创建用户、授权等操作
一, 创建用户: 命令:CREATE USER 'username'@'host' IDENTIFIED BY 'password'; 说明:username - 你将创建的用户名, host - 指 ...
- Oracle创建表空间、创建用户以及授权
Oracle安装完后,其中有一个缺省的数据库,除了这个缺省的数据库外,我们还可以创建自己的数据库. 为了避免麻烦,可以用’Database Configuration Assistant’向导来创建数 ...
- oracle创建用户
--首先用管理员的帐户登录(要有修改用户的权限)system,默认数据库orcl. CREATE USER lcs IDENTIFIED BY lcs default tablespace lics_ ...
- ubuntu 创建用户
http://www.jb51.net/article/45848.htm 创建用户
- Mysql创建用户并授权
运行命令行 mysql -uroot -p 登录mysql use mysql; 创建用户:create user 'test123'@'localhost' identified by '12345 ...
- oracle数据库如何创建用户并授予角色
目标:1. 创建角色test1_role, 授予 CREATE PROCEDURE, CREATE SEQUENCE, CREATE SYNONYM, CREATE TABLE, CREATE T ...
- oracle 创建用户
/*分为四步 *//*第1步:创建临时表空间 */create temporary tablespace ycjy tempfile 'D:\oracledata\ycjy.dbf' size 50 ...
- Oracle创建表空间、创建用户以及授权、查看权限
常用的,留着备用 1.创建临时表空间 CREATE TEMPORARY TABLESPACE test_tempTEMPFILE 'C:\oracle\product\10.1.0\oradata\o ...
随机推荐
- lua文件修改为二进制文件
注意:lua编译跟luajit编译的二进制文件是不兼容,不能运行的 如果是使用luajit,请直接使用luajit直接编译二进制 第一种:luajit编译(以openresty为例,跟luac是相反的 ...
- JAVA-java内存分配
二.java-class的内存分配 三.JAVA string类特别之处 String 通过构造方法创建是在堆内存中, 通过直接赋值对象是在方法区的常量里 四.字符串做拼接 非常耗时和浪费内存的原因 ...
- 数据结构与算法——弗洛伊德(Floyd)算法
介绍 和 Dijkstra 算法一样,弗洛伊德(Floyd)算法 也是一种用于寻找给定的加权图中顶点间最短路径的算法.该算法名称以创始人之一.1978 年图灵奖获得者.斯坦福大学计算机科学系教授罗伯特 ...
- Unity——观察者模式
观察者模式 一.Demo展示 二.设计思路 我们假设一种情况,在app中修改了头像,在所有显示头像的UI中都需要更改相应的图片,一个个去获取然后调用刷新会非常麻烦: 因此我们需要一个自动响应机制--观 ...
- 11204备库升级PSU
某系统PSU为11.2.0.4.190115,备库打补丁20年10月份(31537677)由readme可知:1.要求OPatch要求为11.2.0.3.23或之后的版本.2.非rac环境打补丁需要关 ...
- 手把手教你 Docker部署可视化工具Grafana
一.Grafana的简单介绍 Grafana是开源的.炫酷的可视化监控.分析利器,无论您的数据在哪里,或者它所处的数据库是什么类型,您都可以将它与Grafana精美地结合在一起.它还有丰富的套件供您选 ...
- Java基础之(一):JDK的安装以及Notepad++的下载
从今天开始就开始我的Java的学习了,学习Java前需要做一些前期的准备工作.好了,现在我们先一起来安装JDK. JDK的安装 JDK下载链接:JDK 下载电脑对应的版本,同意协议 双击安装JDK 将 ...
- python的参数传递是值传递还是引用传递?都不是!
[写在前面] 参考文章: https://www.cnblogs.com/spring-haru/p/9320493.html[偏理论,对值传递和引用传递作了总结] https://www.cnblo ...
- Sequence Model-week1编程题1(一步步实现RNN与LSTM)
一步步搭建循环神经网络 将在numpy中实现一个循环神经网络 Recurrent Neural Networks (RNN) are very effective for Natural Langua ...
- Java:锁笔记
Java:锁笔记 本笔记是根据bilibili上 尚硅谷 的课程 Java大厂面试题第二季 而做的笔记 1. Java 锁之公平锁和非公平锁 公平锁 是指多个线程按照申请锁的顺序来获取锁,类似于排队买 ...