#K8S认证与访问控制(RBAC) 用户证书创建

#k8s认证

主要认证 方式 http token、https证书

k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把names.O字段作为Group

  • Pod认证 —>ServiceAccount —>service-account-toen—>API Server
  • k8s组件认证 —> 证书 —> kubeconfig —> API Server

Pod容器的访问:Pod(dashborad 也是Pod形式运行)

k8s组件对API Server的访问:kubectl、Controller Manager、Scheduler、kubelet、kubeproxy

#kubeconfig

kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(证书和私钥),集群

context 信息(集群名称、用户名)

#查看当前kubeconfig配置

kubectl config view

cat ~/.kube/config

#ServiceAccount(sa)

sa为Pod的进程调用Kubernetes API时提供身份标识,附带着Secret用于访问API Server的凭据

每个namespace会自动创建一个default service account

sa创建时,系统Token controller自动创建service-account-toen

pod创建时没指定sa,系统会自动指派相同namespace下的默认sa

容器启动时会挂载sa的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/

#查看当前ns默认sa配置

kubectl get sa default -o yaml

#查看自动创建的secret

kubectl get sa default -o yaml

#创建sa名称myda (-n dev名称空间 --dry-run不执行)

kubectl create sa mysa -n dev -o yaml --dry-run #只显示yaml不执行

RBAC 授权模式

RBAC (Role-Based Access Control基于角色的访问控制)将权限绑定到role,用户与role绑定,获取role权限

Subject (用户User) —> 角色绑定 —> 角色 —> 获取许可权限

  • User --> Rolebinding --> Role (Role仅用于对应ns ,Rolebinding可绑定RoleClusterrole)
  • User --> Clusterrolebinding --> Clusterrole (ClusterRole用于集群级别的资源)

RBAC API资源对象: Pods ConfigMaps Deployments Nodes Secrets Namespaces

role对应操作权限: create get delete list update edit watch exec

#查看集群管理员admin资源

kubectl get clusterrole admin -o yaml

#创建myrole ,查看资源

kubectl create role myrole --verb=get,list,watch --resource=pod,svc -o yaml --dry-run

#创建myrole-binding,绑定role为myrole,绑定用户devuser

kubectl create rolebinding myrole-binding --role=myrole --user=devuser -o yaml --dry-run


#创建Dashboard登录token实例

#创建sa名称dashboard-admin,绑定到集群角色cluster-admin

kubectl create sa dashboard-admin -n kube-system

kubectl create clusterrolebinding  dashboard-admin \

  --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin

#查看Dashboard登录token

kubectl describe secrets -n kube-system \

$(kubectl get secret -A | awk '/dashboard-admin/{print $2}') |awk '/token:/{print$2}'

#k8s证书签名创建用户实例

#k8s创建用户实例

##############################

#k8s创建devuser用户管理dev空间所有资源

##############################

#参数

#group name , namespace

gname=dev

#user name

uname=${gname}user

#clusters name

cname=$(kubectl config get-contexts |awk '/*/{print $3}')

#API Server

apiserver="$(kubectl config view |awk '/server/{print $2}')"

#k8s根证书签名路径

ca_dir=/etc/kubernetes/pki

#可选,创建目录

mkdir -p ${uname} ; cd ${uname}

##############################

#创建证书

#创建私钥key

openssl genrsa -out ${gname}.key

#创建证书签署请求csr(O=组织,CN=用户)

#openssl rand -writerand ~/.rnd

openssl req -new -key ${gname}.key -out ${gname}.csr -subj "/O=${gname}/CN=${uname}"

#使用CA根证书签名

openssl x509 -req -in ${gname}.csr -CAcreateserial -out ${gname}.crt \

-CA ${ca_dir}/ca.crt -CAkey ${ca_dir}/ca.key   -days 365

#验证

#openssl x509 -in ${gname}.crt -text -noout -subject

##############################

#创建config文件

#集群参数

kubectl config set-cluster ${cname} \

--certificate-authority=${ca_dir}/ca.crt \

--embed-certs=true \

--server=${apiserver} \

--kubeconfig=config.${uname}

#客户端认证

kubectl config set-credentials ${uname} \

--client-certificate=${gname}.crt \

--client-key=${gname}.key \

--embed-certs=true \

--kubeconfig=config.${uname}

#上下文参数(用户关联集群)

kubectl config set-context ${uname}@${cname} \

--cluster=${cname} \

--user=${uname} \

--namespace=${gname} \

--kubeconfig=config.${uname}

# 设置默认上下文

kubectl config use-context ${uname}@${cname} --kubeconfig=config.${uname}

#查看

kubectl config view --kubeconfig=config.${uname}

##############################

#权限

#创建namespace

kubectl create ns ${gname}

#查看clusterrole/admin

#kubectl get clusterrole admin -o yaml

#设置权限角色,所属namespace的所有权(使用系统自带的clusterrole)

kubectl create rolebinding ${uname}-admin-binding --clusterrole=admin --user=${uname} --namespace=${gname}

##############################

#kubectl认证

bash #进入新的终端环境

gname=dev

uname=${gname}user

#临时使用config.${uname}授权文件

export KUBECONFIG=config.${uname}

#查看当前配置

kubectl config view

#查看sa

kubectl get sa

#运行Pod测试

kubectl run myweb --image=alivv/nginx:node --replicas=3

#查看Pod

kubectl get pod -n dev

exit #退出测试终端环境

#查看所有namespace的Pod

kubectl get pod -A

##############################


#删除pod

kubectl delete deploy/myweb -n dev

#删除ns

kubectl delete ns dev

Blog地址 https://www.cnblogs.com/elvi/p/11755851.html

本文git地址 https://gitee.com/almi/k8s/tree/master/notes

8.k8s.认证与访问控制的更多相关文章

  1. 开源认证和访问控制的利器keycloak使用简介

    目录 简介 安装keycloak 创建admin用户 创建realm和普通用户 使用keycloak来保护你的应用程序 安装WildFly client adapter 注册WildFly应用程序 安 ...

  2. 深入理解k8s中的访问控制(认证、鉴权、审计)流程

    Kubernetes自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象. 在Kubernetes的访问控制流程中,用户模型是 ...

  3. 十二,k8s集群访问控制之RBAC授权

    目录 角色访问控制RBAC (Role-Based Access Control) 常用的授权插件: RBAC控制: role 和 clusterrole rolebinding 和 clusterr ...

  4. k8s认证与授权

    认证用于身份鉴别,而授权则实现权限分派.k8s以插件化的方式实现了这两种功能,且分别存在多种可用的插件.另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能. 一.访问控制概述 ap ...

  5. k8s系列---k8s认证及serviceaccount、RBAC

    http://blog.itpub.net/28916011/viewspace-2215100/ 对作者文章有点改动 注意kubeadm创建的k8s集群里面的认证key是有有效期的,这是一个大坑!! ...

  6. k8s认证及ServiceAccount-十五

    一.ServiceAccount (1)简介 https://www.kubernetes.org.cn/service-account Service account是为了方便Pod里面的进程调用K ...

  7. k8s认证及serviceAccount、userAccount

    1.概述 用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存. kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中 ...

  8. Security - 轻量级Java身份认证、访问控制安全框架

    前言 此框架由小菜独立开发,并且已经在生产环境中运行大约一年时间. 也就是说,Security 框架写出来有一段时间了,但是一直没有公布.开源,经过不断迭代完善,终于算是拿得出手啦~ Security ...

  9. 十一,k8s集群访问控制之ServicAccount

    目录 认证安全 连接Api-Server的两类账号 ServiceAccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文件 kub ...

随机推荐

  1. [PyQt5]动态显示matplotlib作图(一)

    完整实例 import sys from PyQt5.QtWidgets import QApplication, QMainWindow, QMenu, QVBoxLayout, QSizePoli ...

  2. 023-zabbix性能优化中的几个中肯建议

    随着zabbix的广泛应用,少数人的zabbix服务器在性能上出现瓶颈,或者在未来会出现性能方面的瓶颈,接下来讨论几个有效并且简单的优化方案. 服务器硬件 想通过几个简单的配置让服务器提高成倍的性能, ...

  3. Hive的基本介绍(一)

    01 Hive的基本介绍 1.hive产生的原因 · a) 方便对文件及数据的元数据进行管理,提供统一的元数据管理方式 ​ b) 提供更加简单的方式来访问大规模的数据集,使用SQL语言进行数据分析 2 ...

  4. Zookeeper客户端使用(使用zkclient)

    Zookeeper客户端使用 二.使用zkclient 在pom.xml中加入依赖 <dependency> <groupId>com.101tec</groupId&g ...

  5. zabbix的简单操作(查看监控,自定义监控和钉钉监控报警)

    zabbix是一种监控软件,我用的是centos7.5版本 一:我已经添加好主机了,接下来就是看看怎么查看监控内容的 1.打开zabbix服务的web网页 2.检测最新数据,要在最新数据中筛选 3.查 ...

  6. jenkins打包maven工程发现有些包下载不下来

    将这些依赖的jar包放到mvn的本地仓库中,通常是用户主目录下的.m2/repository https://blog.csdn.net/taiyangdao/article/details/5228 ...

  7. 更新Navicat Premium 后打开数据库出现1146 - Table 'performance_schema.session_variables' doesn't exist

    更新Navicat Premium 后打开数据库出现1146 - Table 'performance_schema.session_variables' doesn't exist 解决方法:打开终 ...

  8. 如何用redis正确实现分布式锁?

    先把结论抛出来:redis无法正确实现分布式锁!即使是redis单节点也不行!redis的所谓分布式锁无法用在对锁要求严格的场景下,比如:同一个时间点只能有一个客户端获取锁. 首先来看下单节点下一般r ...

  9. 【shell】文本匹配问题

    原文本通过TITLE分段 TITLE1 xxx yyy TITLE2 xxx yyy hello zzz hello TITLE3 xxx hello 类似于这样的,hello可能有多个,需要打印出含 ...

  10. XML 浏览器支持

    几乎所有的主流浏览器均支持 XML 和 XSLT. Mozilla Firefox 从 1.0.2 版本开始,Firefox 就已开始支持 XML 和 XSLT(包括 CSS). Mozilla Mo ...