配置k8s集群context-rbac实践
说明
在openshift环境中,可以通过oc project {project_name}命令来切换project,那么在k8s中式如何切换namespace的呢?(ocp的project即相当于k8s中的ns)
实例
创建ns
- #创建dev 和 prod ns
- kubectl create ns dev
- kubectl create ns prod
查看默认上下文用于访问api的信息
- #通过kubectl config view或者cat ~/.kube/config 查看默认上下文使用的cluster和user
- kc config view
- apiVersion: v1
- clusters:
- - cluster:
- certificate-authority-data: REDACTED
- server: https://172.31.2.130:6443
- name: kubernetes
- contexts:
- - context:
- cluster: kubernetes //默认上下文使用的cluster
- user: kubernetes-admin //默认上下文使用的user
- name: kubernetes-admin@kubernetes
- current-context: ctx-prod
- kind: Config
- preferences: {}
- users:
- - name: kubernetes-admin
- user:
- client-certificate-data: REDACTED
- client-key-data: REDACTED
新增上下文
- #定义Context
- kubectl config set-context ctx-dev --namespace=dev --cluster=kubernetes --user=kubernetes-admin
- kubectl config set-context ctx-prod --namespace=prod --cluster=kubernetes --user=kubernetes-admin
切换上下文
- kubectl config use-context ctc-prod
#此时部署应用默认就会到prod ns中
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
上述配置之后可以实现切换ns(类似oc project xxx),但是都是使用的kubernetes-admin这个user,这个用户具有cluster-admin的权限
以下配置实现在prod这个ns中只允许对资源deployment、pod的list等操作,而不允许delete操作
参考链接:https://blog.csdn.net/hy9418/article/details/80268418
创建私钥文件
- #使用openssl创建名为view.key的私钥文件
- openssl genrsa -out view.key
创建证书签名请求文件
- #使用上述的私钥文件创建csr文件
- openssl req -new -key view.key -out view.csr -subj "/CN=view/O=mypwd"
生成证书文件
- #利用k8s集群证书文件(/etc/kubernetes/pki/下),生成证书view.crt
- openssl x509 -req -in view.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out view.crt -days
配置k8s context
- #编辑~/.kube/config文件,新增user,name为view,其中client-certificate-data和client-key-data的值如下
- client-certificate-data=`cat view.crt | base64 --wrap=`
- client-key-data=`cat view.key | base64 --wrap=`
- #在prod这个context中指定user为view
- context:
cluster: kubernetes
namespace: prod
user: view
name: prod
由于未赋权限,报如下错误
- [root@node1 manifests]# kc config use-context prod
- Switched to context "prod".
- [root@node1 manifests]# kc get pod
- No resources found.
- Error from server (Forbidden): pods is forbidden: User "view" cannot list pods in the namespace "prod"
权限赋值
- #新建view_rbac.yaml文件,其中定义了Role对象和RoleBindind对象
- kind: Role
- apiVersion: rbac.authorization.k8s.io/v1beta1
- metadata:
- name: prod_user_role
- namespace: prod
- rules:
- # ""表示core这个apiGroups, pod就是在core
- - apiGroups: ["", "extensions", "apps"]
- resources:
- - pods
- verbs:
- - list
- ---
- kind: RoleBinding
- apiVersion: rbac.authorization.k8s.io/v1beta1
- metadata:
- name: prod_user_rolebinding
- namespace: prod
- roleRef:
- apiGroup: rbac.authorization.k8s.io
- kind: Role
- name: prod_user_role
- subjects:
- - kind: User
- name: view
- namespace: prod
- #通过kubectl create -f view_rbac.yaml,注:需要切回具有cluster-admin权限的context才能执行create动作
verbs 字段的全集:verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
验证
- #切换到prod context
- kc config use-context prod
- #kc get pod,命令正常获取pod
- NAME READY STATUS RESTARTS AGE
- my--game-789f4fb6b5-6nl8n / Running 12d
- my--game-789f4fb6b5-j59hq / Running 12d
- my--game-789f4fb6b5-xx2vb / Running 12d
- kc delete pod my--game-789f4fb6b5-6nl8n
- Error from server (Forbidden): pods "my-2048-game-789f4fb6b5-6nl8n" is forbidden: User "view" cannot delete pods in the namespace "prod"
- kc get deployment
- No resources found.
- Error from server (Forbidden): deployments.extensions is forbidden: User "view" cannot list deployments.extensions in the namespace "prod"
配置k8s集群context-rbac实践的更多相关文章
- 企业运维实践-还不会部署高可用的kubernetes集群?使用kubeadm方式安装高可用k8s集群v1.23.7
关注「WeiyiGeek」公众号 设为「特别关注」每天带你玩转网络安全运维.应用开发.物联网IOT学习! 希望各位看友[关注.点赞.评论.收藏.投币],助力每一个梦想. 文章目录: 0x00 前言简述 ...
- K8S集群集成harbor(1.9.3)服务并配置HTTPS
一.简介 简介请参考:https://www.cnblogs.com/panwenbin-logs/p/10218099.html 二.安装Harbor主机环境及安装要求 主机环境: OS: Cent ...
- [k8s]jenkins配合kubernetes插件实现k8s集群构建的持续集成
另一个结合harbor自动构建镜像的思路: 即code+baseimage一体的方案 - 程序员将代码提交到代码仓库gitlab - 钩子触发jenkins master启动一次构建 - jenkin ...
- Randcher 2.0部署K8s集群(一)
环境准备 1.系统版本 CentOS7.5 + docker ee 2.配置阿里云yum源 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirro ...
- Ansible部署K8s集群
目录 检查网络:k8s-check.yaml 连接配置:k8s-conn-cfg.yaml 配置k8s集群dns解析: k8s-hosts-cfg.yaml 配置yum源:k8s-yum-cfg.ya ...
- K8s集群认证之RBAC
kubernetes认证,授权概括总结: RBAC简明总结摘要:API Server认证授权过程: subject(主体)----->认证----->授权[action(可做什么)]--- ...
- K8S集群Master高可用实践
K8S集群Master高可用实践 https://blog.51cto.com/ylw6006/2164981 本文将在前文基础上介绍k8s集群的高可用实践,一般来讲,k8s集群高可用主要包含以 ...
- 1.还不会部署高可用的kubernetes集群?看我手把手教你使用二进制部署v1.23.6的K8S集群实践(上)
公众号关注「WeiyiGeek」 设为「特别关注」,每天带你玩转网络安全运维.应用开发.物联网IOT学习! 本章目录: 0x00 前言简述 0x01 环境准备 主机规划 软件版本 网络规划 0x02 ...
- 万级K8s集群背后etcd稳定性及性能优化实践
背景与挑战 随着腾讯自研上云及公有云用户的迅速增长,一方面,腾讯云容器服务TKE服务数量和核数大幅增长, 另一方面我们提供的容器服务类型(TKE托管及独立集群.EKS弹性集群.edge边缘计算集群.m ...
随机推荐
- JUC - ReentrantLock 的基本用法 以及 lock()、tryLock()、lockInterruptibly()的区别
ReentrantLock 与 synchronized对比 最近有在阅读Java并发编程实战这本书,又看到了ReentrantLock和synchronized的对比,发现自己以前对于Renntra ...
- C#操作sql server
C#操作sqlserver跟操作其他数据没有太大差别,但是又一些细节要注意一下. 在安装sqlserver时不要选择默认实例,如果是则需要更改设置,还有远程连接要去连接服务中设置一下,如端口1433等 ...
- json基础用法
JSON格式 JSON格式(JavaScript Object Notation的缩写)是一种用于数据交换的文本格式,2001年由Douglas Crockford提出,目的是取代繁琐笨重的XML格式 ...
- C/C++——strcpy函数的实现
题目: 已知strcpy函数的原型是: char * strcpy(char * strDest,const char * strSrc); 1.不调用库函数,实现st ...
- 用Python编写简单的发红包程序和计算器原理
用Python编写简单的发红包程序: 第一种解法:数轴方法解决 import random def red_packet(money,num): money = money * 100 #将钱数转换成 ...
- 前后端对称加密(AES)
后端实现(JAVA) package com.vcgeek.hephaestus.demo; import org.apache.commons.codec.binary.Base64; import ...
- SpringBoot 常用注解简单总结
终于有时间对刚学的SpringBoot注解总结一下了,Annotation(注解)是JDK 5.0之后及以后版本引入的,这个时候需要在Spring中申明一个Bean,只能通过xml的方式,非常繁琐.但 ...
- 欧拉路&&欧拉回路
T1是欧拉路板子,但我不会,直接爆炸.. 这玩意就是个dfs,但我以前一直以为欧拉路只能$O(nm)$求 今天才知道可以$O(n+m)$ 欧拉路判定: 无向:起点终点为奇度点,其余偶度 有向:起点终点 ...
- 重置root密码!
偶尔把密码忘记了也不用慌,重置密码只需简单几步: 第1步:开机后在内核上敲击“e”. 第2步:在linux16这行的后面输入“rd.break”并敲击“ctrl+x“. 第3步:进入到了系统的紧急求援 ...
- .NET手撸绘制TypeScript类图——上篇
.NET手撸绘制TypeScript类图--上篇 近年来随着交互界面的精细化,TypeScript越来越流行,前端的设计也越来复杂,而类图正是用简单的箭头和方块,反映对象与对象之间关系/依赖的好方式. ...