#K8S认证与访问控制(RBAC) 用户证书创建

#k8s认证

主要认证 方式 http token、https证书

k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把names.O字段作为Group

  • Pod认证 —>ServiceAccount —>service-account-toen—>API Server
  • k8s组件认证 —> 证书 —> kubeconfig —> API Server

Pod容器的访问:Pod(dashborad 也是Pod形式运行)

k8s组件对API Server的访问:kubectl、Controller Manager、Scheduler、kubelet、kubeproxy

#kubeconfig

kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(证书和私钥),集群

context 信息(集群名称、用户名)

#查看当前kubeconfig配置

kubectl config view

cat ~/.kube/config

#ServiceAccount(sa)

sa为Pod的进程调用Kubernetes API时提供身份标识,附带着Secret用于访问API Server的凭据

每个namespace会自动创建一个default service account

sa创建时,系统Token controller自动创建service-account-toen

pod创建时没指定sa,系统会自动指派相同namespace下的默认sa

容器启动时会挂载sa的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/

#查看当前ns默认sa配置

kubectl get sa default -o yaml

#查看自动创建的secret

kubectl get sa default -o yaml

#创建sa名称myda (-n dev名称空间 --dry-run不执行)

kubectl create sa mysa -n dev -o yaml --dry-run #只显示yaml不执行

RBAC 授权模式

RBAC (Role-Based Access Control基于角色的访问控制)将权限绑定到role,用户与role绑定,获取role权限

Subject (用户User) —> 角色绑定 —> 角色 —> 获取许可权限

  • User --> Rolebinding --> Role (Role仅用于对应ns ,Rolebinding可绑定RoleClusterrole)
  • User --> Clusterrolebinding --> Clusterrole (ClusterRole用于集群级别的资源)

RBAC API资源对象: Pods ConfigMaps Deployments Nodes Secrets Namespaces

role对应操作权限: create get delete list update edit watch exec

#查看集群管理员admin资源

kubectl get clusterrole admin -o yaml

#创建myrole ,查看资源

kubectl create role myrole --verb=get,list,watch --resource=pod,svc -o yaml --dry-run

#创建myrole-binding,绑定role为myrole,绑定用户devuser

kubectl create rolebinding myrole-binding --role=myrole --user=devuser -o yaml --dry-run


#创建Dashboard登录token实例

#创建sa名称dashboard-admin,绑定到集群角色cluster-admin

kubectl create sa dashboard-admin -n kube-system

kubectl create clusterrolebinding  dashboard-admin \

  --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin

#查看Dashboard登录token

kubectl describe secrets -n kube-system \

$(kubectl get secret -A | awk '/dashboard-admin/{print $2}') |awk '/token:/{print$2}'

#k8s证书签名创建用户实例

#k8s创建用户实例

##############################

#k8s创建devuser用户管理dev空间所有资源

##############################

#参数

#group name , namespace

gname=dev

#user name

uname=${gname}user

#clusters name

cname=$(kubectl config get-contexts |awk '/*/{print $3}')

#API Server

apiserver="$(kubectl config view |awk '/server/{print $2}')"

#k8s根证书签名路径

ca_dir=/etc/kubernetes/pki

#可选,创建目录

mkdir -p ${uname} ; cd ${uname}

##############################

#创建证书

#创建私钥key

openssl genrsa -out ${gname}.key

#创建证书签署请求csr(O=组织,CN=用户)

#openssl rand -writerand ~/.rnd

openssl req -new -key ${gname}.key -out ${gname}.csr -subj "/O=${gname}/CN=${uname}"

#使用CA根证书签名

openssl x509 -req -in ${gname}.csr -CAcreateserial -out ${gname}.crt \

-CA ${ca_dir}/ca.crt -CAkey ${ca_dir}/ca.key   -days 365

#验证

#openssl x509 -in ${gname}.crt -text -noout -subject

##############################

#创建config文件

#集群参数

kubectl config set-cluster ${cname} \

--certificate-authority=${ca_dir}/ca.crt \

--embed-certs=true \

--server=${apiserver} \

--kubeconfig=config.${uname}

#客户端认证

kubectl config set-credentials ${uname} \

--client-certificate=${gname}.crt \

--client-key=${gname}.key \

--embed-certs=true \

--kubeconfig=config.${uname}

#上下文参数(用户关联集群)

kubectl config set-context ${uname}@${cname} \

--cluster=${cname} \

--user=${uname} \

--namespace=${gname} \

--kubeconfig=config.${uname}

# 设置默认上下文

kubectl config use-context ${uname}@${cname} --kubeconfig=config.${uname}

#查看

kubectl config view --kubeconfig=config.${uname}

##############################

#权限

#创建namespace

kubectl create ns ${gname}

#查看clusterrole/admin

#kubectl get clusterrole admin -o yaml

#设置权限角色,所属namespace的所有权(使用系统自带的clusterrole)

kubectl create rolebinding ${uname}-admin-binding --clusterrole=admin --user=${uname} --namespace=${gname}

##############################

#kubectl认证

bash #进入新的终端环境

gname=dev

uname=${gname}user

#临时使用config.${uname}授权文件

export KUBECONFIG=config.${uname}

#查看当前配置

kubectl config view

#查看sa

kubectl get sa

#运行Pod测试

kubectl run myweb --image=alivv/nginx:node --replicas=3

#查看Pod

kubectl get pod -n dev

exit #退出测试终端环境

#查看所有namespace的Pod

kubectl get pod -A

##############################


#删除pod

kubectl delete deploy/myweb -n dev

#删除ns

kubectl delete ns dev

Blog地址 https://www.cnblogs.com/elvi/p/11755851.html

本文git地址 https://gitee.com/almi/k8s/tree/master/notes

8.k8s.认证与访问控制的更多相关文章

  1. 开源认证和访问控制的利器keycloak使用简介

    目录 简介 安装keycloak 创建admin用户 创建realm和普通用户 使用keycloak来保护你的应用程序 安装WildFly client adapter 注册WildFly应用程序 安 ...

  2. 深入理解k8s中的访问控制(认证、鉴权、审计)流程

    Kubernetes自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象. 在Kubernetes的访问控制流程中,用户模型是 ...

  3. 十二,k8s集群访问控制之RBAC授权

    目录 角色访问控制RBAC (Role-Based Access Control) 常用的授权插件: RBAC控制: role 和 clusterrole rolebinding 和 clusterr ...

  4. k8s认证与授权

    认证用于身份鉴别,而授权则实现权限分派.k8s以插件化的方式实现了这两种功能,且分别存在多种可用的插件.另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能. 一.访问控制概述 ap ...

  5. k8s系列---k8s认证及serviceaccount、RBAC

    http://blog.itpub.net/28916011/viewspace-2215100/ 对作者文章有点改动 注意kubeadm创建的k8s集群里面的认证key是有有效期的,这是一个大坑!! ...

  6. k8s认证及ServiceAccount-十五

    一.ServiceAccount (1)简介 https://www.kubernetes.org.cn/service-account Service account是为了方便Pod里面的进程调用K ...

  7. k8s认证及serviceAccount、userAccount

    1.概述 用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存. kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中 ...

  8. Security - 轻量级Java身份认证、访问控制安全框架

    前言 此框架由小菜独立开发,并且已经在生产环境中运行大约一年时间. 也就是说,Security 框架写出来有一段时间了,但是一直没有公布.开源,经过不断迭代完善,终于算是拿得出手啦~ Security ...

  9. 十一,k8s集群访问控制之ServicAccount

    目录 认证安全 连接Api-Server的两类账号 ServiceAccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文件 kub ...

随机推荐

  1. Vim安装插件支持 MarkDown 语法、实时预览等

    使用 markdown-preview.vim 插件可以实时通过浏览器预览 markdown 文件 使用该插件需要 vim 支持py2/py3 安装 使用 vim-plug: 在 .vimrc 或 i ...

  2. 使用switchshow/supportshow命令确认Brocade交换机型号(转载)

    switchshow命令(或supportshow日志)中的switchType是以数字来代表不同的交换机型号,完整的对应表格如下: Switchtype EMC / Brocade名称 / 端口 / ...

  3. 文件I/O编程 (select)

    Select的I/O多路转接模型是处理I/O复用的一个高效方法.Select函数语法要点所需头文件: #include<sys/types.h> #include<sys/time. ...

  4. DCGAN生成式对抗网络--keras实现

    本文针对cifar10 图集进行了DCGAN的复现. 其中库中的SpectralNormalizationKeras需添加至python环境中 该篇代码如下: from keras import ba ...

  5. Rootkit XSS

    0x00 XSS Rootkit介绍 Rootkit概念: 一种特殊的恶意软件            类型: 常见为木马.后门等            特点: 隐蔽 持久控制 谈到XSS,一般都是想到 ...

  6. 火车采集用到的access查询命令小结

    #For zencart #图片网址路径替换 UPDATE Content SET v_products_image=replace(v_products_image, '<img src=&q ...

  7. docker概述和安装

    一:概述 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows 机器上,也可以实现虚拟化,容器是完全使用 ...

  8. Java 缓存池(使用Map实现)

    之前只是听说过缓存池,也没有具体的接触到,今天做项目忽然想到了用缓存池,就花了一上午的时间研究了下缓存池的原理,并实现了基本的缓存池功能. /** * 缓存池 * @author xiaoquan * ...

  9. 如何使用windows performance recorder

    先下载WPA TOOLS:从该地址下载,选最新的版本,然后可以只选择下载WPA工具 后面编写XML文件等等,可以参考这篇文章. 需要注意: 用管理员启动cmd后,如果想运行特定路径的文件,需要带上绝对 ...

  10. CSS基础-如何用border写三角形?

    1.常用的border的单值属性(border指的是边框.) /*边框样式属性*/ border-style: solid; /*边框颜色*/ border-color: #06a43a; /*边框宽 ...