标签:etc toe str scheduler iter role yam uber 验证
#K8S认证与访问控制(RBAC) 用户证书创建
#k8s认证
#主要认证 方式 http token、https证书
k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把names.O字段作为Group
- Pod认证 —>ServiceAccount —>service-account-toen—>API Server
- k8s组件认证 —> 证书 —> kubeconfig —> API Server
Pod容器的访问:Pod(dashborad 也是Pod形式运行)
k8s组件对API Server的访问:kubectl、Controller Manager、Scheduler、kubelet、kube�proxy
#kubeconfig
kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(证书和私钥),集群
context 信息(集群名称、用户名)
#查看当前kubeconfig配置
kubectl config view
cat ~/.kube/config
#ServiceAccount(sa)
sa为Pod的进程调用Kubernetes API时提供身份标识,附带着Secret用于访问API Server的凭据
每个namespace会自动创建一个default service account
sa创建时,系统Token controller自动创建service-account-toen
pod创建时没指定sa,系统会自动指派相同namespace下的默认sa
容器启动时会挂载sa的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/
#查看当前ns默认sa配置
kubectl get sa default -o yaml
#查看自动创建的secret
kubectl get sa default -o yaml
#创建sa名称myda (-n dev名称空间 --dry-run不执行)
kubectl create sa mysa -n dev -o yaml --dry-run #只显示yaml不执行
RBAC 授权模式
RBAC (Role-Based Access Control基于角色的访问控制)将权限绑定到role,用户与role绑定,获取role权限
Subject (用户User) —> 角色绑定 —> 角色 —> 获取许可权限
- User -->
Rolebinding --> Role (Role仅用于对应ns ,Rolebinding可绑定Role和Clusterrole)
- User -->
Clusterrolebinding --> Clusterrole (ClusterRole用于集群级别的资源)
RBAC API资源对象: Pods ConfigMaps Deployments Nodes Secrets Namespaces
role对应操作权限: create get delete list update edit watch exec
#查看集群管理员admin资源
kubectl get clusterrole admin -o yaml
#创建myrole ,查看资源
kubectl create role myrole --verb=get,list,watch --resource=pod,svc -o yaml --dry-run
#创建myrole-binding,绑定role为myrole,绑定用户devuser
kubectl create rolebinding myrole-binding --role=myrole --user=devuser -o yaml --dry-run
#创建Dashboard登录token实例
#创建sa名称dashboard-admin,绑定到集群角色cluster-admin
kubectl create sa dashboard-admin -n kube-system
kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
#查看Dashboard登录token
kubectl describe secrets -n kube-system $(kubectl get secret -A | awk '/dashboard-admin/{print $2}') |awk '/token:/{print$2}'
#k8s证书签名创建用户实例
#k8s创建用户实例
##############################
#k8s创建devuser用户管理dev空间所有资源
##############################
#参数
#group name , namespace
gname=dev
#user name
uname=${gname}user
#clusters name
cname=$(kubectl config get-contexts |awk '/*/{print $3}')
#API Server
apiserver="$(kubectl config view |awk '/server/{print $2}')"
#k8s根证书签名路径
ca_dir=/etc/kubernetes/pki
#可选,创建目录
mkdir -p ${uname} ; cd ${uname}
##############################
#创建证书
#创建私钥key
openssl genrsa -out ${gname}.key
#创建证书签署请求csr(O=组织,CN=用户)
#openssl rand -writerand ~/.rnd
openssl req -new -key ${gname}.key -out ${gname}.csr -subj "/O=${gname}/CN=${uname}"
#使用CA根证书签名
openssl x509 -req -in ${gname}.csr -CAcreateserial -out ${gname}.crt -CA ${ca_dir}/ca.crt -CAkey ${ca_dir}/ca.key -days 365
#验证
#openssl x509 -in ${gname}.crt -text -noout -subject
##############################
#创建config文件
#集群参数
kubectl config set-cluster ${cname} --certificate-authority=${ca_dir}/ca.crt --embed-certs=true --server=${apiserver} --kubeconfig=config.${uname}
#客户端认证
kubectl config set-credentials ${uname} --client-certificate=${gname}.crt --client-key=${gname}.key --embed-certs=true --kubeconfig=config.${uname}
#上下文参数(用户关联集群)
kubectl config set-context ${uname}@${cname} --cluster=${cname} --user=${uname} --namespace=${gname} --kubeconfig=config.${uname}
# 设置默认上下文
kubectl config use-context ${uname}@${cname} --kubeconfig=config.${uname}
#查看
kubectl config view --kubeconfig=config.${uname}
##############################
#权限
#创建namespace
kubectl create ns ${gname}
#查看clusterrole/admin
#kubectl get clusterrole admin -o yaml
#设置权限角色,所属namespace的所有权(使用系统自带的clusterrole)
kubectl create rolebinding ${uname}-admin-binding --clusterrole=admin --user=${uname} --namespace=${gname}
##############################
#kubectl认证
bash #进入新的终端环境
gname=dev
uname=${gname}user
#临时使用config.${uname}授权文件
export KUBECONFIG=config.${uname}
#查看当前配置
kubectl config view
#查看sa
kubectl get sa
#运行Pod测试
kubectl run myweb --image=alivv/nginx:node --replicas=3
#查看Pod
kubectl get pod -n dev
exit #退出测试终端环境
#查看所有namespace的Pod
kubectl get pod -A
##############################
#删除pod
kubectl delete deploy/myweb -n dev
#删除ns
kubectl delete ns dev
Blog地址 https://www.cnblogs.com/elvi/p/11755851.html
本文git地址 https://gitee.com/almi/k8s/tree/master/notes
8.k8s.认证与访问控制
标签:etc toe str scheduler iter role yam uber 验证
原文地址:https://www.cnblogs.com/elvi/p/11755851.html
