普通程序员看k8s的账户管理
一、知识准备
● 账户管理分为:userAccount与serviceAccount
● userAccount:通常是给人设计使用的,并且userAccount不在k8s集群内管理
● serviceAccount:通常是为集群内pod,外部service访问而设计的,更轻量级,更专注与实现某个任务
● k8s账户管理,主要提供身份验证的功能,必须是k8s授权的账户,才能被允许进入集群。这里需要注意的是身份验证之后只是被允许进入集群,但是不一定有访问资源的权限,此时需要用到RBAC来实现
● k8s账户认证主要有证书+私钥、token和账户名密码等方式进行认证
二、环境准备
组件 | 版本 |
---|---|
OS | Ubuntu 18.04.1 LTS |
docker | 18.06.0-ce |
k8s | v1.10.1 |
三、userAccount
我们首先生成一个userAccount,生成userAccount的方法:
创建mrvolleyball账户私钥
root@k8s-master:/etc/kubernetes/ssl# openssl genrsa -out mrvolleyball.key 2048
Generating RSA private key, 2048 bit long modulus
.........+++
........................+++
e is 65537 (0x010001)
基于私钥签署证书,由k8s的ca来签署(该ca是创建k8s集群的时候生成的)
root@k8s-master:/etc/kubernetes/ssl# openssl req -new -key mrvolleyball.key -out mrvolleyball.csr -subj "/CN=mrvolleyball"
root@k8s-master:/etc/kubernetes/ssl# openssl x509 -req -in mrvolleyball.csr -CA k8s-root-ca.pem -CAkey k8s-root-ca-key.pem -CAcreateserial -out mrvolleyball.crt
Signature ok
subject=CN = mrvolleyball
Getting CA Private Key
注:k8s-root-ca.pem与k8s-root-ca-key.pem分别是证书与私钥
签署完成,k8s是怎么识别你的账户名呢:
root@k8s-master:/etc/kubernetes/ssl# openssl x509 -in mrvolleyball.crt -text
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
e5:5e:0d:d2:bc:2e:8a:c6
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = CN, ST = ChengDu, L = ChengDu, O = k8s, OU = System, CN = kubernetes
Validity
Not Before: Mar 1 10:23:44 2019 GMT
Not After : Mar 31 10:23:44 2019 GMT
Subject: CN = mrvolleyball
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
...
k8s主要是通过Subject: CN = mrvolleyball
来识别账户名
接下来将账户注册到kubectl config当中进行管理:
root@k8s-master:/etc/kubernetes/ssl# kubectl config set-cluster mrvolleyball-k8s --server https://192.168.17.171:6443
Cluster "mrvolleyball-k8s" set.
root@k8s-master:/etc/kubernetes/ssl# kubectl config set-cluster mrvolleyball-k8s --certificate-authority=k8s-root-ca.pem
Cluster "mrvolleyball-k8s" set.
root@k8s-master:/etc/kubernetes/ssl# kubectl config set-context context@mrvolleyball-k8s --cluster=mrvolleyball-k8s --user=mrvolleyball
Context "context@mrvolleyball-k8s" created.
root@k8s-master:/etc/kubernetes/ssl# kubectl config set-credentials mrvolleyball --client-certificate=mrvolleyball.crt --client-key=mrvolleyball.key
User "mrvolleyball" set.
创建好之后使用新账户来登录:
root@k8s-master:/etc/kubernetes/ssl# kubectl config use-context context@mrvolleyball-k8s
Switched to context "context@mrvolleyball-k8s".
root@k8s-master:/etc/kubernetes/ssl# kubectl get pod
Error from server (Forbidden): pods is forbidden: User "mrvolleyball" cannot list pods in the namespace "default"
由于没有权限,我们只能允许被进入k8s集群,但是没有访问任何资源的权限
四、serviceAccount
● 当一个pod被创建的时候,pod也需要去k8s-api注册自己的信息,这时候使用的身份验证及时serviceaccount
● 相对于创建证书与私钥的方式,serviceaccount突出轻的特点,使用token认证
对于k8s来说,会默认在每一个命名空间下面,创建一个token用于pod进行身份验证
root@k8s-master:/etc/kubernetes/ssl# kubectl get secret --all-namespaces | grep default-token
default default-token-v9nkm kubernetes.io/service-account-token 3 192d
kube-public default-token-hzfqq kubernetes.io/service-account-token 3 192d
kube-system default-token-g9ghd kubernetes.io/service-account-token 3 192d
test1 default-token-j5j67 kubernetes.io/service-account-token 3 85d
当pod启动的时候,会默认挂载当前namespace下secret进入pod,通过这个secret,进行身份验证
创建一个busybox进行测试:
root@k8s-master:~# echo 'apiVersion: v1
> kind: Pod
> metadata:
> name: busybox
> spec:
> containers:
> - image: busybox:latest
> name: busybox
> command: ["sleep","3600"]' | kubectl apply -f -
pod "busybox" created>
root@k8s-master:~# kubectl describe pod busybox
...
Volumes:
default-token-v9nkm:
Type: Secret (a volume populated by a Secret)
SecretName: default-token-v9nkm
Optional: false
...
来到volumes这里,default-token-v9nkm
正是我们default namespace中默认的key,通过挂载这个secret,pod拿到了进入k8s-api的准入许可
五、小结
● 本文介绍了k8s的账户管理的两种方式userAccount、serviceAccount,以及两种不同的验证方式
● 下一节介绍基于角色的权限控制RBAC
至此,本文结束
在下才疏学浅,有撒汤漏水的,请各位不吝赐教...
普通程序员看k8s的账户管理的更多相关文章
- 普通程序员看k8s基于角色的访问控制(RBAC)
一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员 ...
- 看KubeEdge携手K8S,如何管理中国高速公路上的10万边缘节点
摘要:为保证高速公路上门架系统的落地项目的成功落地,选择K8s和KubeEdge来进行整体的应用和边缘节点管理. 一.项目背景 本项目是在高速公路ETC联网和推动取消省界收费站的大前提下,门架系统的落 ...
- 首席技术官 (CTO) 比普通程序员强在哪
互联网的蓬勃发展,让无数的程序员身价水涨船高,都变成了「香饽饽」,更有了不少「创业」,「当上 CTO,迎娶白富美的传说」.都说不想当元帅的士兵不是好士兵,我觉得这件事见仁见智,但提升自己的价值,让自己 ...
- 想知道吗?CTO 比普通程序员强在哪?
互联网的蓬勃发展,让无数的程序员身价水涨船高,都变成了「香饽饽」,更有了不少「创业」,「当上 CTO,迎娶白富美的传说」.都说不想当元帅的士兵不是好士兵,我觉得这件事见仁见智,但提升自己的价值,让自己 ...
- MySQL账户管理
body { font-family: Helvetica, arial, sans-serif; font-size: 14px; line-height: 1.6; padding-top: 10 ...
- 如何从普通程序员晋升为架构师 面向过程编程OP和面向编程OO
引言 计算机科学是一门应用科学,它的知识体系是典型的倒三角结构,所用的基础知识并不多,只是随着应用领域和方向的不同,产生了很多的分支,所以说编程并不是一件很困难的事情,一个高中生经过特定的训练就可以做 ...
- 普通程序员如何转向AI方向
眼下,人工智能已经成为越来越火的一个方向.普通程序员,如何转向人工智能方向,是知乎上的一个问题.本文是我对此问题的一个回答的归档版.相比原回答有所内容增加. 一. 目的 本文的目的是给出一个简单的,平 ...
- CentOS下的账户管理
在Linux中,每个文件都分3类权限:账户本身的权限,账户所在群组的权限和其它权限.账户和群组是多对多的关系,即一个账户可以属于多个群组,一个群组可以包含多个账户.但是,对于每一个已登录的账户,只能存 ...
- 普通程序员如何转向AI方向(转)
普通程序员如何转向AI方向 眼下,人工智能已经成为越来越火的一个方向.普通程序员,如何转向人工智能方向,是知乎上的一个问题.本文是我对此问题的一个回答的归档版.相比原回答有所内容增加. 一. 目的 ...
随机推荐
- 读高性能JavaScript编程 第三章
第三章 DOM Scripting 最小化 DOM 访问,在 JavaScript 端做尽可能多的事情. 在反复访问的地方使用局部变量存放 DOM 引用. 小心地处理 HTML 集合,因为他们表现 ...
- JS内置对象-String对象、Date日期对象、Array数组对象、Math对象
一.JavaScript中的所有事物都是对象:字符串.数组.数值.函数... 1.每个对象带有属性和方法 JavaScript允许自定义对象 2.自定义对象 a.定义并创建对象实例 b.使用函数来定义 ...
- 1.Solr介绍
转载请出自出处:http://www.cnblogs.com/hd3013779515/ Solr是一个基于Lucene的全文搜索引擎,同时对其进行了扩展,提供了比Lucene更为丰富的查询语言,实现 ...
- React阻止事件冒泡的正确打开方式
需求:点击导航list按钮出现侧弹框,点击空白处弹框消失 问题:绑定空白处的点击事件到document上,但是非空白处的点击也会触发这个点击事件,在react中如何阻止事件冒泡? 解决方法:e.sto ...
- console.time方法与console.timeEnd方法
在Node.js中,当需要统计一段代码的执行时间时,可以使用console.time方法与console.timeEnd方法,其中console.time方法用于标记开始时间,console.time ...
- HtmlUnit
htmlunit 是一款开源的java 页面分析工具,读取页面后,可以有效的使用htmlunit分析页面上的内容.项目可以模拟浏览器运行,被誉为java浏览器的开源实现.是一个没有界面的浏览器,运行速 ...
- linux虚拟化课堂总结图2019_4_23
- std::lexicographical_compare函数的使用
按照词典序比较前者是否小于后者. 当序列<first1, last1>按照字典序比较小于后者序列<first2, last2>,则返回true.否则,返回false. 所谓字典 ...
- docker-compose运行Rails
1.新建空目录,名字可以叫Rails 2.新建Dockerfile并添加如下内容 FROM ruby:2.5 RUN apt-get update -qq && apt-get ins ...
- multi-voltage design apr
在先进制程中,为了降低芯片功耗,经常会采用 muti-voltage design,在一颗芯片内部划分出多个 power domain,不同 domain 采用不同的电压,有时候还会将其中某些 pow ...