一、知识准备

● 账户管理分为:userAccount与serviceAccount

● userAccount:通常是给人设计使用的,并且userAccount不在k8s集群内管理

● serviceAccount:通常是为集群内pod,外部service访问而设计的,更轻量级,更专注与实现某个任务

● k8s账户管理,主要提供身份验证的功能,必须是k8s授权的账户,才能被允许进入集群。这里需要注意的是身份验证之后只是被允许进入集群,但是不一定有访问资源的权限,此时需要用到RBAC来实现

● k8s账户认证主要有证书+私钥、token和账户名密码等方式进行认证

二、环境准备

组件 版本
OS Ubuntu 18.04.1 LTS
docker 18.06.0-ce
k8s v1.10.1
三、userAccount

我们首先生成一个userAccount,生成userAccount的方法:

创建mrvolleyball账户私钥

root@k8s-master:/etc/kubernetes/ssl# openssl genrsa -out mrvolleyball.key 2048

Generating RSA private key, 2048 bit long modulus

.........+++

........................+++

e is 65537 (0x010001)

基于私钥签署证书,由k8s的ca来签署(该ca是创建k8s集群的时候生成的)

root@k8s-master:/etc/kubernetes/ssl# openssl req -new -key mrvolleyball.key -out mrvolleyball.csr -subj "/CN=mrvolleyball"

root@k8s-master:/etc/kubernetes/ssl# openssl x509 -req -in mrvolleyball.csr -CA k8s-root-ca.pem -CAkey k8s-root-ca-key.pem -CAcreateserial -out mrvolleyball.crt

Signature ok

subject=CN = mrvolleyball

Getting CA Private Key

注:k8s-root-ca.pem与k8s-root-ca-key.pem分别是证书与私钥

签署完成,k8s是怎么识别你的账户名呢:

root@k8s-master:/etc/kubernetes/ssl# openssl x509 -in mrvolleyball.crt -text

Certificate:

    Data:

        Version: 1 (0x0)

        Serial Number:

            e5:5e:0d:d2:bc:2e:8a:c6

    Signature Algorithm: sha256WithRSAEncryption

        Issuer: C = CN, ST = ChengDu, L = ChengDu, O = k8s, OU = System, CN = kubernetes

        Validity

            Not Before: Mar  1 10:23:44 2019 GMT

            Not After : Mar 31 10:23:44 2019 GMT

        Subject: CN = mrvolleyball

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

...

k8s主要是通过Subject: CN = mrvolleyball来识别账户名

接下来将账户注册到kubectl config当中进行管理:

root@k8s-master:/etc/kubernetes/ssl# kubectl config set-cluster mrvolleyball-k8s --server https://192.168.17.171:6443

Cluster "mrvolleyball-k8s" set.

root@k8s-master:/etc/kubernetes/ssl# kubectl config set-cluster mrvolleyball-k8s --certificate-authority=k8s-root-ca.pem

Cluster "mrvolleyball-k8s" set.

root@k8s-master:/etc/kubernetes/ssl# kubectl config set-context context@mrvolleyball-k8s --cluster=mrvolleyball-k8s --user=mrvolleyball

Context "context@mrvolleyball-k8s" created.

root@k8s-master:/etc/kubernetes/ssl# kubectl config set-credentials mrvolleyball --client-certificate=mrvolleyball.crt --client-key=mrvolleyball.key

User "mrvolleyball" set.

创建好之后使用新账户来登录:

root@k8s-master:/etc/kubernetes/ssl# kubectl config use-context context@mrvolleyball-k8s

Switched to context "context@mrvolleyball-k8s".

root@k8s-master:/etc/kubernetes/ssl# kubectl get pod

Error from server (Forbidden): pods is forbidden: User "mrvolleyball" cannot list pods in the namespace "default"

由于没有权限,我们只能允许被进入k8s集群,但是没有访问任何资源的权限

四、serviceAccount

● 当一个pod被创建的时候,pod也需要去k8s-api注册自己的信息,这时候使用的身份验证及时serviceaccount

● 相对于创建证书与私钥的方式,serviceaccount突出轻的特点,使用token认证

对于k8s来说,会默认在每一个命名空间下面,创建一个token用于pod进行身份验证

root@k8s-master:/etc/kubernetes/ssl# kubectl get secret --all-namespaces | grep default-token

default       default-token-v9nkm                        kubernetes.io/service-account-token   3         192d

kube-public   default-token-hzfqq                        kubernetes.io/service-account-token   3         192d

kube-system   default-token-g9ghd                        kubernetes.io/service-account-token   3         192d

test1         default-token-j5j67                        kubernetes.io/service-account-token   3         85d

当pod启动的时候,会默认挂载当前namespace下secret进入pod,通过这个secret,进行身份验证

创建一个busybox进行测试:

root@k8s-master:~# echo 'apiVersion: v1

> kind: Pod

> metadata:

>   name: busybox

> spec:

>   containers:

>   - image: busybox:latest

>     name: busybox

>     command: ["sleep","3600"]' | kubectl apply -f -

pod "busybox" created>


root@k8s-master:~# kubectl describe pod busybox

...

Volumes:

  default-token-v9nkm:

    Type:        Secret (a volume populated by a Secret)

    SecretName:  default-token-v9nkm

    Optional:    false

...

来到volumes这里,default-token-v9nkm正是我们default namespace中默认的key,通过挂载这个secret,pod拿到了进入k8s-api的准入许可

五、小结

● 本文介绍了k8s的账户管理的两种方式userAccount、serviceAccount,以及两种不同的验证方式

● 下一节介绍基于角色的权限控制RBAC

至此,本文结束

在下才疏学浅,有撒汤漏水的,请各位不吝赐教...

普通程序员看k8s的账户管理的更多相关文章

  1. 普通程序员看k8s基于角色的访问控制(RBAC)

    一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员 ...

  2. 看KubeEdge携手K8S,如何管理中国高速公路上的10万边缘节点

    摘要:为保证高速公路上门架系统的落地项目的成功落地,选择K8s和KubeEdge来进行整体的应用和边缘节点管理. 一.项目背景 本项目是在高速公路ETC联网和推动取消省界收费站的大前提下,门架系统的落 ...

  3. 首席技术官 (CTO) 比普通程序员强在哪

    互联网的蓬勃发展,让无数的程序员身价水涨船高,都变成了「香饽饽」,更有了不少「创业」,「当上 CTO,迎娶白富美的传说」.都说不想当元帅的士兵不是好士兵,我觉得这件事见仁见智,但提升自己的价值,让自己 ...

  4. 想知道吗?CTO 比普通程序员强在哪?

    互联网的蓬勃发展,让无数的程序员身价水涨船高,都变成了「香饽饽」,更有了不少「创业」,「当上 CTO,迎娶白富美的传说」.都说不想当元帅的士兵不是好士兵,我觉得这件事见仁见智,但提升自己的价值,让自己 ...

  5. MySQL账户管理

    body { font-family: Helvetica, arial, sans-serif; font-size: 14px; line-height: 1.6; padding-top: 10 ...

  6. 如何从普通程序员晋升为架构师 面向过程编程OP和面向编程OO

    引言 计算机科学是一门应用科学,它的知识体系是典型的倒三角结构,所用的基础知识并不多,只是随着应用领域和方向的不同,产生了很多的分支,所以说编程并不是一件很困难的事情,一个高中生经过特定的训练就可以做 ...

  7. 普通程序员如何转向AI方向

    眼下,人工智能已经成为越来越火的一个方向.普通程序员,如何转向人工智能方向,是知乎上的一个问题.本文是我对此问题的一个回答的归档版.相比原回答有所内容增加. 一. 目的 本文的目的是给出一个简单的,平 ...

  8. CentOS下的账户管理

    在Linux中,每个文件都分3类权限:账户本身的权限,账户所在群组的权限和其它权限.账户和群组是多对多的关系,即一个账户可以属于多个群组,一个群组可以包含多个账户.但是,对于每一个已登录的账户,只能存 ...

  9. 普通程序员如何转向AI方向(转)

    普通程序员如何转向AI方向   眼下,人工智能已经成为越来越火的一个方向.普通程序员,如何转向人工智能方向,是知乎上的一个问题.本文是我对此问题的一个回答的归档版.相比原回答有所内容增加. 一. 目的 ...

随机推荐

  1. Audit log report

  2. DAU、UV、独立IP、PV的区别和联系

    基本概念 DAU(Daily Active User)日活跃用户数量.常用于反映网站.互联网应用或网络游戏的运营情况.DAU通常统计一日(统计日)之内,登录或使用了某个产品的用户数(去除重复登录的用户 ...

  3. Django商城项目笔记No.14用户部分-用户中心邮箱绑定

    保存邮箱界面如下 接口设计如下 视图逻辑: 因为url是不接受pk参数的,所以UpdateApiView无法确定要更新哪个模型类,所以要重写get_object,告诉他更新哪个模型类.这里更新的是us ...

  4. 为什么ConcurrentHashMap的读操作不需要加锁?

    我们知道,ConcurrentHashmap(1.8)这个并发集合框架是线程安全的,当你看到源码的get操作时,会发现get操作全程是没有加任何锁的,这也是这篇博文讨论的问题--为什么它不需要加锁呢? ...

  5. nginx之location.md

    安装echo模块 下载模块 # pwd /root # git clone https://github.com/openresty/echo-nginx-module 重新编译 先查看版本,然后根据 ...

  6. java中Integer与int装箱拆箱一点收获

    示例代码: class BoxIntInteger { public static void main(String[] args) { Integer a = new Integer(10111); ...

  7. 拯救U盘之——轻松修复U盘“无法访问”的故障

    在使用U盘或者移动硬盘的过程中,大家是否和我一样,有个不好的操作习惯,明知不好但是在每次使用时都很少记得“安全删除硬件”,随手一把走人.终于出问题了,那天给mm复制完资料,拔了再插到自己的电脑上,打开 ...

  8. Android SDK4/5/6/7,相册、拍照及裁剪功能及遇见的坑

    保存照片和视频到系统相册显示- http://blog.csdn.net/chendong_/article/details/52290329 Android 7.0 之拍照与图片裁剪适配-http: ...

  9. JS日历控件优化(增加时分秒)

    JS日历控件优化      在今年7月份时候 写了一篇关于 "JS日历控件" 的文章 , 当时只支持 年月日 的日历控件,现在优化如下:      1. 在原基础上 支持 yyyy ...

  10. 简单的表格json控件

    简单的表格json控件 由于最近做的项目一直有表格的形式展示数据,所以想写个简单的关于表格方面的控件出来,想用JSON数据直接渲染出来,因为开发给到我们前端的字段可能会叫不同的名字,所以我们前端渲染页 ...