【Kubernetes】k8s user类型账号的config文件创建

最新推荐文章于 2025-03-13 14:08:33 发布
最新推荐文章于 2025-03-13 14:08:33 发布
阅读量931 收藏 7
点赞数 24
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/K_sir666/article/details/141279201
版权

k8s客户端工具-kubectl

介绍

kubectl 是 Kubernetes 命令行工具,用于与 Kubernetes 集群进行交互。它允许用户执行各种操作,如部署应用、管理资源、查看集群状态等 。

下载

客户端的版本最好和集群的版本一致,或者大于集群的版本,我这儿是v1.29.2版本的集群。

https://cdn.dl.k8s.io/release/v1.29.2/kubernetes-client-linux-amd64.tar.gz

  • 解压

    tar -zxvf kubernetes-client-linux-amd64.tar.gz

  • 验证

    进入./kubernetes/client/bin

    ./kubectl version

    在这里插入图片描述

    也可以把kubectl命令行工具复制到/usr/local/bin目录下(配置快捷脚本)

    在这里插入图片描述

使用

通过kubectl客户端和k8s集群进行交付时,默认回去找/root/.kube/config文件进行相关的集群认证鉴权,文章后面会有讲到这个config文件的创建。

可以通过 ./kubectl --help命令查看相关的参数信息

在这里插入图片描述

kubeconfig配置文件

kubeconfig 是 Kubernetes 集群的配置文件,用于存储与集群连接相关的信息,例如集群的地址、证书、用户名等。它是 kubectl 命令行工具和其他 Kubernetes 客户端与集群进行通信的重要配置文件 ;基于无状态协议HTTP/HTTPS的API Server需要验证每次连接请求中的用户身份,因而kube-controller-manager、kube-scheduler和kube-proxy等各类客户端组件必须能自动完成身份认证信息的提交,但通过程序选项来提供这些信息会导致敏感信息泄露。另外,管理员还面临着使用kubectl工具分别接入不同集群时的认证及认证信息映射难题。为此,Kubernetes设计了一种称为kubeconfig的配置文件,它保存有接入一到多个Kubernetes集群的相关配置信息,并允许管理员按需在各配置间灵活切换, 需要注意的是,kubeconfig 文件包含敏感信息,如证书和密码,因此应该妥善保管和保护该文件,避免将其泄露给未经授权的人员 。

kubeconfig文件结构

在这里插入图片描述

  • 集群信息

    集群信息给k8s集群创建一个集群名称用于后面给用户和命令空间绑定

  • 集群上下文

    简单理解是集群信息、用户、命令空间绑定,定义哪个用户在集群哪个命令空间下有相应的权限

  • 用户信息

    账号类型是user的需要跟api-server认证,然后配置相应的权限即可有集群资源的操作权限

X509数字证书身份凭据(user账号)
生成私钥
# umask 077; openssl genrsa -out test.key 2048
创建证书签署请求

-subj选项中CN的值将被API Server识别为用户名,O的值将被识别为用户组。

# openssl req -new -key test.key -out test.csr -subj "/CN=mason/O=devops"
签署证书请求
# openssl x509 -req -days 365 -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -in test.csr -out test.crt

注意*这里k8s集群的证书和密钥可以是ca.crt,ca.key和ca.pem,ca-key.pem

查看证书信息
# ls
mason.crt  mason.csr  mason.key
自定义kubeconfig文件
添加集群配置(cluster)
# kubectl config set-cluster devopser --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server="https://x.x.x.x:6443" --kubeconfig=$HOME/.kube/kube-dev.config
  • –server可以通过kubectl config view命令查看集群API地址的
  • 这个命令执行后config文件已生成(kube-dev.config)
添加用户信息(user)
# kubectl config set-credentials test --embed-certs=true --client-certificate=test.crt --client-key=test.key --kubeconfig=$HOME/.kube/kube-dev.config
添加上下文信息(context)
# kubectl config set-context devopser --cluster=devopser --namespace=default --user=test --kubeconfig=$HOME/.kube/kube-dev.config
设置当前上下文
# kubectl config use-context devopser  --kubeconfig=./kube-dev.config

CURRENT   NAME        CLUSTER     AUTHINFO   NAMESPACE
*         devopser    devopser    user       default
使用上下文测试访问资源
# kubectl get ns --kubeconfig=./kube-dev.config    #注意如果授权非default命名空间记得-n
Error from server (Forbidden): namespaces "default" is forbidden: User "mason" cannot get resource "namespaces" in API group "" in the namespace "default"  #error报错是user没有集权资源的访问权限,添加role,rolebinding和cluserbinding来赋予权限

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: mason-default-rolebinding
  namespace: default
subjects:
- kind: User
  name: mason
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
K_sir666
关注
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2107
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
Kubernetes k8s学习笔记 尚硅谷王泽老师 由浅入深
weixin_43691773的博客
11-17 4504
Kubernetes k8s学习笔记尚硅谷2019 这里写目录标题Kubernetes k8s学习笔记尚硅谷2019Kubernetes 特点Kubernetes 学习知识点Kubernetes 组件说明brog的架构K8S的架构 Kubernetes 特点 Kubernetes 学习知识点 Kubernetes 组件说明 brog的架构 k8s算是brog系统的GO语言版 Brog Master负责请求分发 分发到Broglet完成工作 BrogMaster节点最好三个以上且单数 Seched
基于 kubeconfig 认证的 k8s 用户账号创建案列
JiaWen的博客
07-12 1063
Kubernetes 集群中创建用户账号时,通常会使用 kubeconfig 文件来进行认证和授权,其中 CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制......
k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1139
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
K8S学习之基础二十八:k8s中的configMap
最新发布
云上艺旅的博客
03-13 818
k8s中的configmap
k8s创建用户账号——User Account
码农崛起
08-17 3491
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独
K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
运维、实施交付领域知识交流
08-07 1535
Kubernetes 专题 - 生成特定 Kubeconfig 文件
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号User Account)以及如何为其赋予权限...
k8s】创建基于sa的token的kubeconfig
binqian的专栏
12-03 812
创建一个基于sa的token的kubeconfig文件,并用这个文件来访问集群。
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2421
k8s如何生成一个完整的kubeconfig文件
K8s手工创建kubeconfig
小单的博客专栏
02-14 2190
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
k8s 创建UserAccount
qq_32783703的博客
09-07 308
k8s 创建UserAccount。
k8s 生成config 文件
qq_36270681的博客
02-23 3048
拷贝文件给master scp admin.pem 10.1.234.30:/opt/kubernetes/ssl/ scp admin-key.pem 10.1.234.30:/opt/kubernetes/ssl/ [root@k8s-master1 ~]# cat config.sh # 配置kubernetes集群参数 kubectl config set-cluster kubernetes \ --certificate-authority=/opt/kubernetes..
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3974
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
k8s创建普通用户
whz-emm的博客
10-27 1765
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
k8s中集群配置文件config生成
chang_rj的博客
03-26 5283
本文是在已有集群的基础上进行重新配置kubelet实现的 kubectl:使用 ca.pem、admin-key.pem、admin.pem; cd k8s-cert/ vi admin-csr.json ---------- { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, ...
k8s中手动创建User并认证、授权供jenkins使用
novice的博客
11-10 2167
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfigk8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
k8s用给定的仓库账号密码来创建pod
09-19
首先创建一个Secret资源文件 (`secret.yaml`),然后在Deployment或Pod定义中引用它。例如: ```yaml apiVersion: v1 kind: Secret metadata: name: my-registry-secret type: Opaque data: username: cGFzc3dvcmQ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值