#K8S认证与访问控制(RBAC) 用户证书创建

#k8s认证

主要认证 方式 http token、https证书

k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把names.O字段作为Group

  • Pod认证 —>ServiceAccount —>service-account-toen—>API Server
  • k8s组件认证 —> 证书 —> kubeconfig —> API Server

Pod容器的访问:Pod(dashborad 也是Pod形式运行)

k8s组件对API Server的访问:kubectl、Controller Manager、Scheduler、kubelet、kubeproxy

#kubeconfig

kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(证书和私钥),集群

context 信息(集群名称、用户名)

#查看当前kubeconfig配置

kubectl config view

cat ~/.kube/config

#ServiceAccount(sa)

sa为Pod的进程调用Kubernetes API时提供身份标识,附带着Secret用于访问API Server的凭据

每个namespace会自动创建一个default service account

sa创建时,系统Token controller自动创建service-account-toen

pod创建时没指定sa,系统会自动指派相同namespace下的默认sa

容器启动时会挂载sa的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/

#查看当前ns默认sa配置

kubectl get sa default -o yaml

#查看自动创建的secret

kubectl get sa default -o yaml

#创建sa名称myda (-n dev名称空间 --dry-run不执行)

kubectl create sa mysa -n dev -o yaml --dry-run #只显示yaml不执行

RBAC 授权模式

RBAC (Role-Based Access Control基于角色的访问控制)将权限绑定到role,用户与role绑定,获取role权限

Subject (用户User) —> 角色绑定 —> 角色 —> 获取许可权限

  • User --> Rolebinding --> Role (Role仅用于对应ns ,Rolebinding可绑定RoleClusterrole)
  • User --> Clusterrolebinding --> Clusterrole (ClusterRole用于集群级别的资源)

RBAC API资源对象: Pods ConfigMaps Deployments Nodes Secrets Namespaces

role对应操作权限: create get delete list update edit watch exec

#查看集群管理员admin资源

kubectl get clusterrole admin -o yaml

#创建myrole ,查看资源

kubectl create role myrole --verb=get,list,watch --resource=pod,svc -o yaml --dry-run

#创建myrole-binding,绑定role为myrole,绑定用户devuser

kubectl create rolebinding myrole-binding --role=myrole --user=devuser -o yaml --dry-run


#创建Dashboard登录token实例

#创建sa名称dashboard-admin,绑定到集群角色cluster-admin

kubectl create sa dashboard-admin -n kube-system

kubectl create clusterrolebinding  dashboard-admin \

  --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin

#查看Dashboard登录token

kubectl describe secrets -n kube-system \

$(kubectl get secret -A | awk '/dashboard-admin/{print $2}') |awk '/token:/{print$2}'

#k8s证书签名创建用户实例

#k8s创建用户实例

##############################

#k8s创建devuser用户管理dev空间所有资源

##############################

#参数

#group name , namespace

gname=dev

#user name

uname=${gname}user

#clusters name

cname=$(kubectl config get-contexts |awk '/*/{print $3}')

#API Server

apiserver="$(kubectl config view |awk '/server/{print $2}')"

#k8s根证书签名路径

ca_dir=/etc/kubernetes/pki

#可选,创建目录

mkdir -p ${uname} ; cd ${uname}

##############################

#创建证书

#创建私钥key

openssl genrsa -out ${gname}.key

#创建证书签署请求csr(O=组织,CN=用户)

#openssl rand -writerand ~/.rnd

openssl req -new -key ${gname}.key -out ${gname}.csr -subj "/O=${gname}/CN=${uname}"

#使用CA根证书签名

openssl x509 -req -in ${gname}.csr -CAcreateserial -out ${gname}.crt \

-CA ${ca_dir}/ca.crt -CAkey ${ca_dir}/ca.key   -days 365

#验证

#openssl x509 -in ${gname}.crt -text -noout -subject

##############################

#创建config文件

#集群参数

kubectl config set-cluster ${cname} \

--certificate-authority=${ca_dir}/ca.crt \

--embed-certs=true \

--server=${apiserver} \

--kubeconfig=config.${uname}

#客户端认证

kubectl config set-credentials ${uname} \

--client-certificate=${gname}.crt \

--client-key=${gname}.key \

--embed-certs=true \

--kubeconfig=config.${uname}

#上下文参数(用户关联集群)

kubectl config set-context ${uname}@${cname} \

--cluster=${cname} \

--user=${uname} \

--namespace=${gname} \

--kubeconfig=config.${uname}

# 设置默认上下文

kubectl config use-context ${uname}@${cname} --kubeconfig=config.${uname}

#查看

kubectl config view --kubeconfig=config.${uname}

##############################

#权限

#创建namespace

kubectl create ns ${gname}

#查看clusterrole/admin

#kubectl get clusterrole admin -o yaml

#设置权限角色,所属namespace的所有权(使用系统自带的clusterrole)

kubectl create rolebinding ${uname}-admin-binding --clusterrole=admin --user=${uname} --namespace=${gname}

##############################

#kubectl认证

bash #进入新的终端环境

gname=dev

uname=${gname}user

#临时使用config.${uname}授权文件

export KUBECONFIG=config.${uname}

#查看当前配置

kubectl config view

#查看sa

kubectl get sa

#运行Pod测试

kubectl run myweb --image=alivv/nginx:node --replicas=3

#查看Pod

kubectl get pod -n dev

exit #退出测试终端环境

#查看所有namespace的Pod

kubectl get pod -A

##############################


#删除pod

kubectl delete deploy/myweb -n dev

#删除ns

kubectl delete ns dev

Blog地址 https://www.cnblogs.com/elvi/p/11755851.html

本文git地址 https://gitee.com/almi/k8s/tree/master/notes

8.k8s.认证与访问控制的更多相关文章

  1. 开源认证和访问控制的利器keycloak使用简介

    目录 简介 安装keycloak 创建admin用户 创建realm和普通用户 使用keycloak来保护你的应用程序 安装WildFly client adapter 注册WildFly应用程序 安 ...

  2. 深入理解k8s中的访问控制(认证、鉴权、审计)流程

    Kubernetes自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象. 在Kubernetes的访问控制流程中,用户模型是 ...

  3. 十二,k8s集群访问控制之RBAC授权

    目录 角色访问控制RBAC (Role-Based Access Control) 常用的授权插件: RBAC控制: role 和 clusterrole rolebinding 和 clusterr ...

  4. k8s认证与授权

    认证用于身份鉴别,而授权则实现权限分派.k8s以插件化的方式实现了这两种功能,且分别存在多种可用的插件.另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能. 一.访问控制概述 ap ...

  5. k8s系列---k8s认证及serviceaccount、RBAC

    http://blog.itpub.net/28916011/viewspace-2215100/ 对作者文章有点改动 注意kubeadm创建的k8s集群里面的认证key是有有效期的,这是一个大坑!! ...

  6. k8s认证及ServiceAccount-十五

    一.ServiceAccount (1)简介 https://www.kubernetes.org.cn/service-account Service account是为了方便Pod里面的进程调用K ...

  7. k8s认证及serviceAccount、userAccount

    1.概述 用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存. kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中 ...

  8. Security - 轻量级Java身份认证、访问控制安全框架

    前言 此框架由小菜独立开发,并且已经在生产环境中运行大约一年时间. 也就是说,Security 框架写出来有一段时间了,但是一直没有公布.开源,经过不断迭代完善,终于算是拿得出手啦~ Security ...

  9. 十一,k8s集群访问控制之ServicAccount

    目录 认证安全 连接Api-Server的两类账号 ServiceAccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文件 kub ...

随机推荐

  1. 牛客假日团队赛5 K 金币馅饼 (DP 基础题)

    链接:https://ac.nowcoder.com/acm/contest/984/K 来源:牛客网 金币馅饼 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 32768K,其他语言 ...

  2. 遗传算法的C语言实现(二)

    上一次我们使用遗传算法求解了一个较为复杂的多元非线性函数的极值问题,也基本了解了遗传算法的实现基本步骤.这一次,我再以经典的TSP问题为例,更加深入地说明遗传算法中选择.交叉.变异等核心步骤的实现.而 ...

  3. NETCONF

    NETCONF协议(Network Configration Protocol) NETCONF是一个基于XML的交换机配置接口,用于替代CLI.SNMP等配置交换机. 本质上来说,NETCONF就是 ...

  4. thinkphp一对多关系

    兹有用户表user和评论表comment 一对一 public function returnmany() { return $this->hasOne('commnet','uid','use ...

  5. git的clone和github的fork

    git的clone是从github上下载下来,clone到项目里面,fork是在本地修改后再提交到github上,在github上用request来进行提交,经作者确认后可以合同到mast分支上

  6. 18.二叉树的镜像(python)

    题目描述 操作给定的二叉树,将其变换为源二叉树的镜像. class Solution: # 返回镜像树的根节点 def Mirror(self, root): # write code here if ...

  7. Python基础(四)

    一.迭代器       让不同数据类型具有相同的遍历方式:list.dict.str.tuple.set 1.特点: ①省内存 ②只能向前,不能反复 ③惰性机制 2.可迭代对象 ###dir() 查看 ...

  8. 创建一个Django项目

    创建一个django项目: 1. django-admin  startproject student_manage(项目名) 2. cd student_manage python manage.p ...

  9. linux操作目录命令之mkdir与rmdir

    一.mkdir  创建目录(一个或多个目录) mkdir -m 777 -p path 1)-m  对新建目录设置权限 2)-p  可以是一个路径名称.此时若路径的某一级目录尚不存在,使有该选项后系统 ...

  10. matlab画二维直方图以及双y轴坐标如何修改另一边y轴的颜色

    1.首先讲一下如何用hist画二维直方图 x=[- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ...