Kubernetes 用户管理, ApiServer 新增集群用户

最新推荐文章于 2025-03-27 17:17:00 发布
最新推荐文章于 2025-03-27 17:17:00 发布
阅读量618 收藏 10
点赞数 17
分类专栏: kubernetes Security 文章标签: kubernetes 容器 云原生 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51964671/article/details/135369043
版权
本文详细介绍了在Kubernetes环境中如何使用OpenSSL生成CSR、请求证书、创建kubeconfig,以及为用户分配角色和权限的过程。重点在于证书签名请求(CSR)中的CN和O字段对权限控制的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

博客原文

文章目录

生成 key

$ openssl genrsa --out mkt.key 2048

根据 key 生成 csr

CN: 为 mkt

$ openssl req -new -key mkt.key -out mkt.csr -subj "/CN=mkt"

把 csr 发给 apiserver 的 ca 生成 crt

$ openssl x509 -req -in mkt.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out mkt.crt -days 1095
Signature ok
subject=CN = mkt
Getting CA Private Key

生成文件:

root@master1:~/tmp# ls
mkt.crt  mkt.csr  mkt.key

查看证书

$ openssl x509 -in mkt.crt -text -noout

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            01:60:fb:9a:ce:5e:59:28:b0:e3:d6:76:90:99:eb:52:41:a5:b9:86
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = kubernetes
        Validity
            Not Before: Jan  3 06:44:53 2024 GMT
            Not After : Jan  2 06:44:53
最低0.47元/天 解锁文章
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1366
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
云原生kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
jks212454的博客
08-07 358
云原生kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
一次calico问题排查
qq_44397993的博客
04-22 2534
k8s集群出现一台主机calico重启,无法重新添加路由 当时查看了下kubelet的日志,发现有报错证书无效,查看了集群内其它环境主机,路由都正常,按理说不应该是证书无效才对 开始看下calico的日志,发现有报Liveness probe failed: calico/node is not ready: bird/confd is not live: exit status 1 /BIRD is not ready: Error querying BIRD: unable to connect to.
calico问题——kube-apiserver报错了服务kubernetes/default的集群IP 10.0.0.1不在服务CIDR 169.169.0.0/16内;请重新创建.
weixin_43804233的博客
05-08 434
安装网络插件,并运行会生成有关cni文件目录,里面会显示要使用的master cluster ip,一定要和master_ssl.cnf中对应上,不然后面会导致容器无法正常运行!这里的ip段是有讲究的,不然后面安装的calico网络插件会找不到,会报错。一定要检查kube-apiserver的配置文件。ps:不懂就记录,好记性不如烂文档。这三个是三个master的运行情况。
Kubernetes网络插件选择与区别之Calico网络插件详解 中集
soso678的博客
03-27 769
接上文 https://blog.youkuaiyun.com/soso678/article/details/146566189?在k8s最新1.32.3版本中安装calico
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
longchangfeng的博客
02-23 2029
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
kubernetes实际生产中遇到的问题及解决办法
weixin_38924998的博客
01-11 1779
特别是,错误信息中提到了"Kernel and userspace incompatible: settype hash:ip,port with revision 7 not supported by userspace",这表明内核和用户空间之间的不兼容性。以上问题是calico-node启动失败导致的calico-apiserver一直处于Pending状态。calico启动失败,pod状态running,但是ready这里只有0/1,实际没有运行。降低系统内核版本或是变更calico的版本。
部署calico网络插件
lldhsds的专栏
07-01 3309
之前的k8s环境中主要使用了flannel作为网络插件,这次改用calicocalico支持多种安装方式,以下是具体的操作步骤。
Kubernetes--API Server
GaoChuang_的博客
11-06 1433
一、Kubernetes API Server功能 Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、RC、Server等)的增、删、改、查及watch等HTTP REST接口,成为集群内各个功能模块之间数据交互和通信中心枢纽,是整个系统的数据总线和数据中心。除此之外,它还是集群管理的API入口,是资源配额控制的入口,提供了完备的集群安全机制。 二、Kubernetes API Server核心原理 通过curl 命令访问 API...
云原生实战 Kubernetes集群管理与使用.pdf
05-07
用户只需将 `Federated Resource` 创建到 Host 集群的 API Server 中,然后由 `controller-manager` 完成资源的分发。 - **分发逻辑**:Federation v2 在逻辑上分为 configuration(配置)和 propagation(分发)...
K8S Calico网络插件
热门推荐
dz45693的专栏
05-25 1万+
0.前言 参考文档:https://github.com/containernetworking/cni Pod网络插件,为了实现Pod网络而需要的插件、组件。由于Kubernetes通过开放的CNI接口来允许插件的接入,所以它又称之为CNI网络插件。 为了解决跨主机容器间通信问题,市面上存在很多解决方案,为了兼容和规范这些解决方案,Kubernetes仅设计了网络模型,却将Pod网络的实现交给了CNI网络插件,并允许网络插件通过标准的CNI(Container Network Interface,容器
k8s add node calico_k8s高可用架构部署(转载)
weixin_39850699的博客
11-29 427
目录· kubeadm介绍· kubeadm概述· kubeadm功能· 本方案描述· 部署规划· 节点规划· 初始准备· 互信配置· 其他准备· 集群部署· 相关组件包· 正式安装· 部署高可用组件· HAProxy安装· Keepalived安装· 创建配置文件· 启动服务· 初始化集群· 拉取镜像· Master上初始化· 添加其他master节点· 安装NIC插件· NIC插件介绍· 设置...
【实战加详解】二进制部署k8s高可用集群教程系列十三 - 部署calico
JohnYang's 优快云 Home
10-13 680
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
K8S二进制环境搭建苹果电脑(M1芯片)
沐浴在阳光下的鬼的博客
01-17 1035
calico pull 失败问题处理、k8s M1部署
k8s-高可用部署-calico插件
因上努力,果上随缘。但行好事,莫问前程。
04-27 2926
kubernetes高可用部署参考:Creating Highly Available Clusters with kubeadm | KubernetesGitHub - kubernetes-sigs/kubespray: Deploy a Production Ready Kubernetes ClusterGitHub - wise2c-devops/breeze: Deploy a Production Ready Kubernetes Cluster with graphical interfa
《k8s中的网络安全丨PKI知识梳理》
u010389826的博客
05-06 2210
pki体系讲解与k8s中的证书机制
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
一起来学k8s 14.kubernetes config
隔壁小翔
07-14 654
kubernetes config 环境 192.168.48.101 master01 192.168.48.201 node01 192.168.48.202 node02 查看config文件 [root@master01 ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authori...
K8s安全总结
liukuan73的专栏
12-05 8995
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
Kubernetes 集群搭建智慧校园项目
最新发布
06-07
<think>嗯,用户现在想搭建一个基于Kubernetes集群的智慧校园项目,询问具体部署管理方法。之前提供的系统引用很有价值,特别是关于容器化技术和高校智慧校园痛点的描述。用户应该是个高校信息化负责人或技术主管,正在推进智慧校园升级。ta特意提到Kubernetes集群,说明已经具备容器化基础认知,可能更关注实际落地层面的架构设计和运维管理。从ta引用资料的选择看,对iVX研发基座这类一体化解决方案也表现出兴趣。智慧校园项目确实适合用Kubernetes体系来构建,但需要重点解决几个问题:首先是微服务拆分,传统校园系统如教务、财务都是单体应用;其次是异构数据处理,传感器日志和关系型数据库要统一处理;还有安全合规问题,学生隐私数据要特别保护。参考引用[1]和[2],部署方案可以分三层设计:最底层用Kubernetes集群作为容器编排引擎,中间层部署服务网格治理流量,上层通过iVX这类低代码平台快速开发应用模块。特别要注意的是存储方案,校园业务系统需要大量有状态服务,需要设计使用StatefulSet配合高可用存储的方案。后续扩展性方面,在回复里建议使用Helm进行版本控制很重要——用户未来肯定要不断新增模块,比如从基础教务扩展到智慧教室物联管理。还应该准备一个具体的日志收集方案实例,EFK堆栈在校园场景很实用。</think> 基于Kubernetes搭建智慧校园项目,需结合容器化、微服务架构和自动化管理,以下是关键步骤和技术要点: ### 一、架构设计原则 1. **微服务拆分** - 将智慧校园系统(如教务、财务、物联网设备管理)拆分为独立微服务 - 每个服务打包为独立Docker容器(参考引用[1]的容器化实践) - 示例部署单元: ```yaml # deployment.yaml片段 apiVersion: apps/v1 kind: Deployment metadata: name: campus-schedule-service spec: replicas: 3 template: spec: containers: - name: scheduler image: registry.example.com/schedule:v1.2 env: - name: DB_URL value: "jdbc:mysql://mysql-service:3306/schedule" ``` 2. **技术栈整合** - 前端:采用iVX低代码平台快速构建界面(引用[2]方案) - 中间件:消息队列(Kafka)、认证服务(Keycloak) - 数据层: - 关系数据库(MySQL集群)→ 有状态服务部署 - 实时数据(Elasticsearch)→ 日志/监控分析 ### 二、Kubernetes集群实施 1. **基础设施准备** ```bash # 使用kubeadm创建集群(生产环境示例) kubeadm init --apiserver-advertise-address=192.168.1.100 \ --pod-network-cidr=10.244.0.0/16 ``` 2. **关键组件部署** | 组件 | 作用 | 部署方式 | |---------------|-----------------------|----------------| | **Ingress-Nginx** | 流量入口 | Helm Chart部署 | | **Prometheus** | 监控集群 | Operator管理 | | **EFK** | 日志收集 | DaemonSet | ### 三、运维管理核心实践 1. **配置智慧校园专用运维工具链** - 集成引用[3]的JVM诊断方案: ```bash # 容器内添加JDK工具包 kubectl exec ${POD_NAME} -- jmap -dump:live,format=b /tmp/heap.bin ``` - 创建诊断Sidecar容器自动收集日志 2. **GitOps持续部署流程** ```mermaid graph LR A[代码仓库] -->|提交变更| B(GitLab CI/CD) B -->|构建镜像| C(私有镜像仓库) C -->|同步配置| D[ArgoCD] D -->|应用变更| E(Kubernetes集群) ``` 3. **高可用保障措施** - 关键服务Pod反亲和性配置: ```yaml affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: [core-auth] topologyKey: kubernetes.io/hostname ``` - 分级HPA策略: - Web服务:CPU>70%自动扩容 - 批处理服务:定时弹性伸缩 ### 四、高校场景特殊处理 1. **数据治理** - 通过CSI驱动连接校园存储系统 - 敏感数据(成绩、个人信息)加密方案: ```bash kubectl create secret generic db-cred \ --from-literal=username=admin \ --from-literal=password=${ENCRYPTED_PWD} ``` 2. **流量调度优化** - 考试系统优先级保障: ```yaml priorityClassName: high-priority ``` - 寒暑假自动缩容策略(基于CronHPA) 3. **混合云架构** ```mermaid graph TB 校内数据中心-->|运行核心业务| K8s-Master 公有云-->|托管非敏感模块| Managed-K8s 边缘节点-->|物联网设备接入| K3s-Cluster ``` ### 五、部署验证流程 1. **渐进式交付方案** - 金丝雀发布策略: ```bash kubectl set image deployment/campus-portal \ campus-portal=image:v2.0 --record kubectl rollout pause deployment/campus-portal ``` - 调用链监控(Jaeger)验证服务依赖 2. **混沌工程测试** - 使用chaos-mesh模拟网络分区: ```yaml apiVersion: chaos-mesh.org/v1alpha1 kind: NetworkChaos metadata: name: campus-network-test spec: action: partition selector: namespaces: [campus-prod] ``` > **运维关键提示**:定期使用`kubectl drain node-01`进行节点维护,并通过Velero实现跨集群应用迁移备份[^1][^2]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M·K·T

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值