1.概述

用kubectl向apiserver发起的命令,采用的是http方式,K8s支持多版本并存.

kubectl的认证信息存储在~/.kube/config,所以用curl无法直接获取apis中的信息,可以采用代理方式

kubectl proxy --port=8080

# HTTP request action,如get,post,put,delete,

# 这些action映射到k8s中,有:get,list,create,udate,patch,watch,proxy,redirect,delete

curl http://127.0.0.1:8080/apis/apps/v1/namespaces/kube-system/deployments

kubectl describe svc kubernetes

Name:              kubernetes

Namespace:         default

Labels:            component=apiserver

                   provider=kubernetes

Annotations:       <none>

Selector:          <none>

Type:              ClusterIP

IP:                10.96.0.1

Port:              https  443/TCP

TargetPort:        6443/TCP

Endpoints:         10.0.0.10:6443

Session Affinity:  None

Events:            <none>

10.96.0.1是kubernetes apiserver的地址,实现了通过10.96.0.1访问10.0.0.10:6443

# serviceAccount已经被替换成serviceAccountName

# apiServer验证用户和pod,它俩分别使用userAccount和serviceAccount

kubectl create  serviceaccount  mysa -o yaml --dry-run

apiVersion: v1

kind: ServiceAccount

metadata:

  creationTimestamp: null

  name: mysa

# 创建其它资源时,可以参考系统标准的模板

kubectl get pods myapp-1 -o yaml --export

2.创建serviceAccount

kubectl create serviceaccount admin

kubectl get sa

NAME      SECRETS   AGE

admin     1         10s

default   1         15d

# 这个sa目前只存在于default名称空间

kubectl describe sa admin

kubectl get secret

NAME                   TYPE                                  DATA   AGE

admin-token-bqcpl      kubernetes.io/service-account-token   3      53s

default-token-g7t2x    kubernetes.io/service-account-token   3      15d

# 用配置清单把serviceaccount和pod绑定起来,这表示该pod使用自定义的验证信息admin

cat pod-sa-demo.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-sa-demo

  namespace: default

  labels:

    app: myapp

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort: 80

  serviceAccountName: admin 

# kubeconfig是客户端连接apiserver时使用的认证格式的配置文件

# context定义哪个集群被哪个用户访问,current-context当前是用的是哪个context

kubectl config view

apiVersion: v1

clusters:

- cluster:

    certificate-authority-data: DATA+OMITTED

    server: https://10.0.0.10:6443

  name: kubernetes

contexts:

- context:

    cluster: kubernetes

    user: kubernetes-admin

  name: kubernetes-admin@kubernetes

current-context: kubernetes-admin@kubernetes

kind: Config

preferences: {}

users:

- name: kubernetes-admin

  user:

    client-certificate-data: REDACTED

    client-key-data: REDACTED

3.创建useraccount

# 证书存放位置

cd /etc/kubernetes/pki/

# 做一个私钥,生成lixiang.key

(umask 077; openssl genrsa -out lixiang.key 2048)

# 基于私钥生成一个证书,生成lixiang.csr,CN就是用户账号名

openssl req -new -key lixiang.key -out lixiang.csr -subj "/CN=lixiang"

# 签发证书,生成lixiang.crt,-days:表示证书的过期时间,x509:生成x509格式证书

openssl  x509 -req -in lixiang.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out lixiang.crt -days 365

# 查看证书内容

openssl x509 -in lixiang.crt -text -noout

# 把用户账户信息添加到当前集群中,embed-certs=true隐藏证书信息

kubectl config set-credentials lixiang --client-certificate=lixiang.crt --client-key=lixiang.key --embed-certs=true

# 设置该用户可以访问kubernetes集群

kubectl config set-context lixiang@kubernetes --cluster=kubernetes --user=lixiang

# 切换到lixiang用户,登录k8s,可以看到lixiang用户没有管理器权限

kubectl config use-context lixiang@kubernetes

# 切回k8s管理员

kubectl config use-context kubernetes-admin@kubernetes

# 创建一个新的k8s集群,--kubeconfig:指定集群配置文件存放位置

kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://127.0.0.1:6443" \

--certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true

kubectl config view --kubeconfig=/tmp/test.conf

参考博客:http://blog.itpub.net/28916011/viewspace-2215100/

k8s认证及serviceAccount、userAccount的更多相关文章

  1. k8s系列---k8s认证及serviceaccount、RBAC

    http://blog.itpub.net/28916011/viewspace-2215100/ 对作者文章有点改动 注意kubeadm创建的k8s集群里面的认证key是有有效期的,这是一个大坑!! ...

  2. 15.kubernetes认证及serviceaccount

    kubernetes认证及serviceaccount 认证 授权:RBAC(目前的主流授权方式) 准入控制:了解即可 --> 认证 授权 准入控制 客户端 -->api-server: ...

  3. 8.k8s.认证与访问控制

    #K8S认证与访问控制(RBAC) 用户证书创建 #k8s认证 #主要认证 方式 http token.https证书 k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把 ...

  4. kubernetes认证和serviceaccount

    Service Account 为 Pod 提供必要的身份认证.所有的 kubernetes 集群中账户分为两类,Kubernetes 管理的 serviceaccount(服务账户) 和 usera ...

  5. Kubernetes 学习15 kubernetes 认证及serviceaccount

    一.概述 1.通过此前描述可以知道k8s是以后运行我们生产环境中重要应用程序的尤其是无状态程序的一个非常重要的平台.这里面能托管一些核心应用以及核心数据,很显然对于k8s对应接口的访问不是任何人都可以 ...

  6. k8s认证与授权

    认证用于身份鉴别,而授权则实现权限分派.k8s以插件化的方式实现了这两种功能,且分别存在多种可用的插件.另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能. 一.访问控制概述 ap ...

  7. k8s认证及ServiceAccount-十五

    一.ServiceAccount (1)简介 https://www.kubernetes.org.cn/service-account Service account是为了方便Pod里面的进程调用K ...

  8. 容器编排系统K8s之访问控制--用户认证

    前文我们聊到了k8s的statefulset控制器相关使用说明,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14201103.html:今天我们来聊一下k8 ...

  9. 普通程序员看k8s的账户管理

    一.知识准备 ● 账户管理分为:userAccount与serviceAccount ● userAccount:通常是给人设计使用的,并且userAccount不在k8s集群内管理 ● servic ...

随机推荐

  1. Jenkins系统初始化配置

    1.点击系统管理-->全局安全配置 2.设置允许用户注册,点击保存 3.配置全局工具 4.配置maven文件路径,使用文件系统中的settings文件 5.配置jdk 6.配置maven 7.我 ...

  2. java设计模式简述

    1.代理模式:有一个接口或者顶层类(可以是抽象的)A,一个实现类B,一个代理类C,代理类C之所以能够是代理类,是因为1.C也实现了A.2.C持有A的依赖,用来注入真实的实现B.3.C的实现方法中实际调 ...

  3. mysql服务器变量、缓存及索引

    服务器变量 注意:其中有些参数支持运行时修改,会立即生效:有些参数不支持,且只能通过修改配置文件,并重启服务器程序生效:有些参数作用域是全局的,且不可改变:有些可以为每个用户提供单独(会话)的设置. ...

  4. 在SQLAlchemy ORM中动态变更表名

    在开发过程中,经常会遇到几张表结构相同,仅仅表名不一样.这在直接使用SQL语句进行查询的环境中处理起来很简单,但如果使用了SQLAlchemy ORM之后,因在model定义时就确定了表名,就需要用其 ...

  5. Flutter移动电商实战 --(25)列表页_使用Provide控制子类-1

    主要是二级分类的UI布局 生成我们的右侧动态类 定义list变量 开始写里面的子项,把每一个小的写了 再拼成一个大的 这样我们的小类就写完了 开始写我的大类别:是一个横向的ListView.写横向的L ...

  6. js获取本地ip

    function getUserIP(onNewIP) { // onNewIp - your listener function for new IPs //compatibility for fi ...

  7. SQL-W3School-高级:SQL LIKE 操作符

    ylbtech-SQL-W3School-高级:SQL LIKE 操作符 1.返回顶部 1. LIKE 操作符用于在 WHERE 子句中搜索列中的指定模式. LIKE 操作符 LIKE 操作符用于在 ...

  8. NiewPatchDrawable

    在使用AS的时候要注意以下几点: 1.点9图不能放在mipmap目录下,而需要放在drawable目录下! 2.AS中的.9图,必须要有黑线,不然编译都不会通过 xml定义NinePatchDrawa ...

  9. 阶段5 3.微服务项目【学成在线】_day05 消息中间件RabbitMQ_6.RabbitMQ研究-入门程序-消费者

    我们在consumer这个功能下进行代码的编写 首先是新建这个层级的包 创建入门程序的消费者 消费者也需要和mq建立通道.建立连接创建通道 在顶部都声明这个队列 下面写核心代码监听队列.basicCo ...

  10. anconda + python 3.6安装(以前的anconda,anaconda和python版本对应关系)

    anconda + python 3.6安装 anaconda + python3.6安装安装老版本带python3.6的anaconda安装老版本带python3.6的anacondaanacond ...