2. 程式人生 > >k8s rbac增加user用戶配置roles

k8s rbac增加user用戶配置roles

阿新 發佈:2018-09-05
als 它的 bar rem ive app 文件 you min

1.
k8s增加普通用戶User

普通用戶並不是通過k8s來創建和維護,是通過創建證書和切換上下文環境的方式來創建和切換用戶。
其實創建用戶的步驟,就是手動部署k8s集群裏的一個步驟。
創建過程見下:

創建用戶證書:

[root@k8s-master1 quanxian]# cat jane-csr.json
{
? "CN": "jane",
? "key": {
? ? "algo": "rsa",
? ? "size": 2048
? },
? "names": [
? ? {
? ? ? "C": "CN",
? ? ? "ST": "SZ",
? ? ? "L": "SZ",
? ? ? "O": "k8s",
? ? ? "OU": "4Paradigm"
? ? }
? ]
}

生成user證書

[root@k8s-master1 jane]#? cfssl gencert -ca=/etc/kubernetes/cert/ca.pem -ca-key=/etc/kubernetes/cert/ca-key.pem -config=/etc/kubernetes/cert/ca-config.json -profile=kubernetes jane-csr.json | cfssljson -bare jane
2018/09/05 01:51:01 [INFO] generate received request
2018/09/05 01:51:01 [INFO] received CSR
2018/09/05 01:51:01 [INFO] generating key: rsa-2048
2018/09/05 01:51:01 [INFO] encoded CSR
2018/09/05 01:51:01 [INFO] signed certificate with serial number 520899621423670329054136035003302903598818113990
2018/09/05 01:51:01 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
[root@k8s-master1 jane]# ls
jane.csr? jane-csr.json? jane-key.pem? jane.pem
[root@k8s-master1 jane]#

設置集群參數

[root@k8s-master1 jane]# kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/cert/ca.pem --embed-certs=true --server=https://192.168.211.127:8443 --kubeconfig=kubectl.kubeconfig
Cluster "kubernetes" set.

設置客戶端認證參數

[root@k8s-master1 jane]# kubectl config set-credentials jane --client-certificate=jane.pem --client-key=jane-key.pem --embed-certs=true --kubeconfig=jane.kubeconfig
User "jane" set.

設置上下文參數

[root@k8s-master1 jane]# kubectl config set-context kubernetes --cluster=kubernetes --user=jane --kubeconfig=jane.kubeconfig
Context "kubernetes" created.

設置當前用戶環境為新建的jane

[root@k8s-master1 jane]#? kubectl config use-context kubernetes --kubeconfig=jane.kubeconfig
Switched to context "kubernetes".

到這裏用戶已經生成
下面用這個用戶來測試role和clusterrole

2.
role
只能授予單個namespace空間資源的權限

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
? namespace: default
? name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
? resources: ["pods"]
? verbs: ["get", "watch", "list"]
?
##apiVersion ? 指定api版本 ? ? 可以用命令 ?kubectl ?api-versions ?查看
##kind ? ? ? ? ? ?指定資源類型

##metadata ? ?元數據
##name ? ? ? ? ?這個資源的名字
##namespace 指定namespace ??

##rules ? ? ? ? ? 定義規則
##apiGroups ? [" "] ? 所有核心api
##resources ? ?指定可以操作的資源 ? 比如pod ??
##verbs ? ? ? ? ? 操作權限,這個權限就是操作上面資源的權限

3.
clusterrole
可以授予整個集群的資源的權限。
也可也授予單個namespace空間資源的權限
取決於它的binding方式
不同的binding方式,授予的權限就不同。

4.
rolebinding

針對單個namespace使用rolebinding
將role權限綁定給用戶
就用上面的做示例

先創建role

[root@k8s-master1 quanxian]# cat role1.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
? namespace: default
? name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
? resources: ["pods"]
? verbs: ["get", "watch", "list"]
[root@k8s-master1 quanxian]#
[root@k8s-master1 quanxian]# kubectl apply -f role1.yaml
role.rbac.authorization.k8s.io "pod-reader" created
[root@k8s-master1 quanxian]#

綁定

[root@k8s-master1 quanxian]# cat rolebinding1.yaml
# This role binding allows "jane" to read pods in the "default" namespace.
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
? name: read-pods
? namespace: default
subjects:
- kind: User
? name: jane?
? apiGroup: rbac.authorization.k8s.io
roleRef:
? kind: Role #this must be Role or ClusterRole
? name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
? apiGroup: rbac.authorization.k8s.io
[root@k8s-master1 quanxian]#
[root@k8s-master1 quanxian]# kubectl apply -f rolebinding1.yaml
rolebinding.rbac.authorization.k8s.io "read-pods" created

參數說明:

kind: RoleBinding ?                          ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##指定類型是rolebinding?
apiVersion: rbac.authorization.k8s.io/v1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##api接口版本

metadata: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##元數據
name: read-pods ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##指定這個rolebinding的名稱
namespace: default ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##指定操作的namespace 這裏是默認 ?可以用kubectl get namespace 查看

subjects: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##我們要增加的用戶
- kind: User ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##kind可以是User或者serviceaccount
name: jane ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##新加的用戶名
apiGroup: rbac.authorization.k8s.io ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##用到的api接口

roleRef: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##綁定role
kind: Role ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ##綁定的role類型
name: pod-reader ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##綁定role的名字
apiGroup: rbac.authorization.k8s.io ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?##用到的api接口 ? ??

查看權限

[root@k8s-master1 jane]# kubectl describe role
Name:? ? ? ?? pod-reader
Labels:? ? ?? <none>
Annotations:? kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"rbac.authorization.k8s.io/v1","kind":"Role","metadata":{"annotations":{},"name":"pod-reader","namespace":"default"},"rules":[{"apiGroups...
PolicyRule:
? Resources? Non-Resource URLs? Resource Names? Verbs
? ---------? -----------------? --------------? -----
? pods? ? ?? []? ? ? ? ? ? ? ?? []? ? ? ? ? ? ? [get watch list]
[root@k8s-master1 jane]#

jane用戶只有pod的權限

5.
檢查用戶jane的role是否配置成功
記得保存原來的config文件(切記切記切記)
使用前面jane用戶生成的jane.kubeconfig配置文件

重新命名原config文件

[root@k8s-master1 .kube]# mv config config.admin
[root@k8s-master1 .kube]# ls
cache? config.admin? http-cache

把jane.kubeconfig移到目錄

[root@k8s-master1 .kube]# mv /root/k8s/jane/jane.kubeconfig? .
[root@k8s-master1 .kube]# ls
cache? config.admin? http-cache? jane.kubeconfig

改名

[root@k8s-master1 .kube]# mv jane.kubeconfig config
[root@k8s-master1 .kube]# ll
total 20
drwxr-xr-x 3 root root?? 23 Aug 28 22:34 cache
-rw------- 1 root root 6193 Sep? 5 02:47 config
-rw------- 1 root root 6215 Aug 28 22:31 config.admin ? ? ? ? ? ? ? ? ? ?
drwxr-xr-x 3 root root 4096 Sep? 5 02:52 http-cache

執行命令看看

[root@k8s-master1 .kube]# kubectl get all
NAME? ? ? ? ? ? ? ? ? ? ? ? ? ?? READY? ?? STATUS? ? RESTARTS?? AGE
pod/httpd-app-6dc78c4869-8dmmq?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
pod/httpd-app-6dc78c4869-dbpxc?? 1/1? ? ?? Running?? 4? ? ? ? ? 5d
pod/httpd-app-6dc78c4869-hs59j?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
pod/httpd-app-6dc78c4869-lp4hs?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
pod/httpd-app-6dc78c4869-z9mc9?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
Error from server (Forbidden): replicationcontrollers is forbidden: User "jane" cannot list replicationcontrollers in the namespace "default"
Error from server (Forbidden): services is forbidden: User "jane" cannot list services in the namespace "default"
Error from server (Forbidden): daemonsets.apps is forbidden: User "jane" cannot list daemonsets.apps in the namespace "default"
Error from server (Forbidden): deployments.apps is forbidden: User "jane" cannot list deployments.apps in the namespace "default"
Error from server (Forbidden): replicasets.apps is forbidden: User "jane" cannot list replicasets.apps in the namespace "default"
Error from server (Forbidden): statefulsets.apps is forbidden: User "jane" cannot list statefulsets.apps in the namespace "default"
Error from server (Forbidden): horizontalpodautoscalers.autoscaling is forbidden: User "jane" cannot list horizontalpodautoscalers.autoscaling in the namespace "default"
Error from server (Forbidden): jobs.batch is forbidden: User "jane" cannot list jobs.batch in the namespace "default"
Error from server (Forbidden): cronjobs.batch is forbidden: User "jane" cannot list cronjobs.batch in the namespace "default"
[root@k8s-master1 .kube]#
[root@k8s-master1 .kube]# kubectl get svc
Error from server (Forbidden): services is forbidden: User "jane" cannot list services in the namespace "default"
[root@k8s-master1 .kube]#
[root@k8s-master1 .kube]# kubectl get roles
Error from server (Forbidden): roles.rbac.authorization.k8s.io is forbidden: User "jane" cannot list roles.rbac.authorization.k8s.io in the namespace "default"
[root@k8s-master1 .kube]#
[root@k8s-master1 .kube]# kubectl get pod
NAME? ? ? ? ? ? ? ? ? ? ? ?? READY? ?? STATUS? ? RESTARTS?? AGE
httpd-app-6dc78c4869-8dmmq?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
httpd-app-6dc78c4869-dbpxc?? 1/1? ? ?? Running?? 4? ? ? ? ? 5d
httpd-app-6dc78c4869-hs59j?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
httpd-app-6dc78c4869-lp4hs?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
httpd-app-6dc78c4869-z9mc9?? 1/1? ? ?? Running?? 5? ? ? ? ? 5d
[root@k8s-master1 .kube]#
[root@k8s-master1 .kube]# kubectl config view
apiVersion: v1
clusters:
- cluster:
? ? certificate-authority-data: REDACTED
? ? server: https://192.168.211.127:8443
? name: kubernetes
contexts:
- context:
? ? cluster: kubernetes
? ? user: jane
? name: kubernetes
current-context: kubernetes
kind: Config
preferences: {}
users:
- name: jane
? user:
? ? client-certificate-data: REDACTED
? ? client-key-data: REDACTED
[root@k8s-master1 .kube]#

可以看到User jane只有pods的權限

還記得前面遇到的問題嗎?

?[root@k8s-master1?.kube]#?kubectl?logs?httpd-app-6dc78c4869-z9mc9
Error?from?server?(Forbidden):?pods?"httpd-app-6dc78c4869-z9mc9"?is?forbidden:?User?"jane"?cannot?get?pods/log?in?the?namespace?"default"
[root@k8s-master1?.kube]#?

這個問題在這裏模擬出來了
?

6.
深入點思考,這個操作實現了k8s集群不同用戶不同操作權限的設定。

k8s rbac增加user用戶配置roles

相關推薦

k8s rbac增加user配置roles

als 它的 bar rem ive app 文件 you min 1.k8s增加普通用戶User 普通用戶並不是通過k8s來創建和維護,是通過創建證書和切換上下文環境的方式來創建和切換用戶。其實創建用戶的步驟,就是手動部署k8s集群裏的一個步驟。創建過程見下: 創建用戶證

增加samba提示Failed to add entry for user

nbsp oot pass 添加 magic 輸入密碼 passwd命令 res 來源 1、首先在Ubuntu安裝好samba,具體步驟為:安裝samba:sudo apt-get install samba安裝smbclient:sudo apt-get install

Ubuntu增加一個並給普通賦予root權限的方法

people tro 一個 帳號登錄 token upd ubunt user date 1、添加用戶,首先用adduser命令添加一個普通用戶,命令如下: #adduser tommy //添加一個名為tommy的用戶#passwd tommy //修改密碼Ch

配置文件的漫遊配置(全)

windows 域環境 活動目錄 漫遊 趙一 漫遊的優勢: 1,方便用戶的操作,域用戶無論在哪個客戶端登錄,桌面環境配置都是一樣的,可以在外地辦公。 2,數據的統一存儲,管理更方便。一:搭建域控制器 1.此實驗環境是windows2008 2.win+R快捷鍵打開運行 dcpr

UserProfilesView(配置文件查看器)

配置 路徑 技術分享 http XML 圖片預覽 下載地址 user 文件 軟件簡介: VaultPasswordView 是一個解密和顯示儲存在"WindowUserProfilesView 顯示您目前在您系統中所有用戶配置文件的列表。對於每個用戶的配置文件,將顯

計算機本地配置文件如何遷移至域賬戶

profile 本地配置文件遷移 近日有碰到關於將工作組計算機本地用戶配置文件遷移至域用戶配置文件下的問題,查閱了相關文檔,現記錄下遷移過程,待後續翻閱。(以下遷移過程為虛擬機測試環境) 1. 將計算機加入域後,重啟電腦; 2. 使用域賬號domainuser登錄電腦,生成域用戶

Ubuntu中rootuser的相互切換

缺省 命令行 div bsp ubuntu col 令行 ubun 16px Ubuntu中root用戶和user用戶的相互切換 Ubuntu是最近很流行的一款Linux系統,因為Ubuntu默認是不啟動root用戶,現在介紹如何進入root的方法。 (1)從user

Linux配置sudo權限(visudo)

led 編輯 pda visible 相關配置 smi related sha drivers sudo的工作過程如下: 1,當用戶執行sudo時,系統會主動尋找/etc/sudoers文件,判斷該用戶是否有執行sudo的權限 2,確認用戶具有可執行sudo的權限後,讓

組管理:配置文件

sha etc shadow 配置 用戶信息 inux bsp lin 名稱 ---恢復內容開始--- 用戶信息文件 /etc/passwd   1.用戶管理簡介   所以越是對服務器安全性要求高的服務器,越需要建立合理的用戶權限等級制度和服務器操作規範   在linux

Linux3.1配置文件及組管理

cat 標識 ipv4 刪除 除了 有一個 shadow ash 同時 用戶配置文件和密碼配置文件 用戶配置文件 [root@chy002 ~]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1

3周第1次課 linux和windows互傳文件 配置文件和密碼配置文件 組管理 管理

windows inux 互傳文件 一、linux和windows互傳文件1.Linux 傳文件到 windows ##此辦法只適合使用(xshell securecrt)工具的用戶[root@centos701 ~]# yum install -y lrzsz ##下載支

linux和windows互傳文件, 配置文件和密碼配置文件, 組管理, 管理

linuxlinux和windows互傳文件用戶配置文件和密碼配置文件用戶組管理用戶管理linux和windows互傳文件yum install -y lrzsz用戶配置文件和密碼配置文件root:x:0:0:root:/root:/bin/bashserver:x:1000:1000::/home/serv

強制漫遊配置文件

windows server 強制漫遊用戶配置文件強制漫遊用戶配置文件:無論對配置文件做了什麽修改,在重啟後都會還原更改。操作:在已經設置用戶配置文件為漫遊的基礎上 點擊組織點擊“文件夾和搜索選項”取消對文件的隱藏打開用戶配置文件的文件夾,找到

Linux配置文件及權限

zl---------- 屬主 屬組 其他安全上下文(secure context) 任何時候用戶操作計算機無非就是發起進程,因此,進程是用戶操作計算機的代理,所以進程在運行的時候,一定是以發起它的用戶的身份在運行。所以,這個進程到底能夠訪問哪些文件,取決於這個進程自己的權限和它要訪問的那個資源或文件的

2.27Linux和windows互傳;3.1配置文件和密碼配置文件;3.2/3.3

用戶組管理 用戶管理 2.27 Linux和windows互傳文件1. yum安裝 lrzsz:[root@hao-01 ~]# yum install -y lrzsz2. Linux上的文件,傳輸給windows下:sz 跟文件[root@hao-01 ~]# sz 1.txt3. windows

2.27linux和windows互傳文件 3.1 配置文件和密碼配置文件 3.2 組管理

用戶 用戶組 2.27linux和windows互傳文件1、linux和window互傳文件linux把文件傳遞到windows上使用szwindow文件傳遞到linux使用rz3.1 用戶配置文件和密碼配置文件1、用戶配置文件和密碼配置文件密碼文件,也是用戶的核心文件用戶名開頭,一共分為7個字段;r

配置文件和密碼配置文件、組管理、管理、usermod命令

51cto 通用 普通 sbin png root tle 用戶名 加密 用戶配置文件和密碼配置文件用戶配置文件:/etc/passwd/etc/passwd 用戶密碼文件,當我們增加一個用戶時,文件就會增加相應的一行內容。第一個字段:為用戶名第二個字段:該

十一、Linux和Windows互傳文件、配置文件和密碼配置文件、組管理、管理

天才 install gin dd命令 建立 我們 log 永遠 name 十一、Linux和Windows互傳文件、用戶配置文件和密碼配置文件、用戶組管理、用戶管理一、Linux和Windows互傳文件安裝軟件包:yum install -y lrzsz(xshell,s

文件互傳,配置文件和密碼配置文件,以及組管理

不同的 ssl 註釋 cal ger 生命周期 remove 安裝 aaa 與windows互傳文件如果我們要互傳文件,先要安裝一個工具,lrzsz。rz是從windiws中下載文件到linux,sz是從linux中上傳文件到windows的。 linux只一個多用戶的操作

配置文件和密碼配置文件

字段 water def 用戶名 配置文件 shell 分享圖片 uid pro 第一段用戶名第二段密碼第三段UID第四段GID第五段解釋說明第六段家目錄第七段shellid aming 查看id 第一個字段是用戶名第二段是密碼第三段表示上次更改密碼的時間,從1970年1月