Kubernetes 用户管理, ApiServer 新增集群用户

最新推荐文章于 2025-03-27 17:17:00 发布
最新推荐文章于 2025-03-27 17:17:00 发布
阅读量618 收藏 10
点赞数 17
分类专栏: kubernetes Security 文章标签: kubernetes 容器 云原生 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51964671/article/details/135369043
版权
本文详细介绍了在Kubernetes环境中如何使用OpenSSL生成CSR、请求证书、创建kubeconfig,以及为用户分配角色和权限的过程。重点在于证书签名请求(CSR)中的CN和O字段对权限控制的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

博客原文

文章目录

生成 key

$ openssl genrsa --out mkt.key 2048

根据 key 生成 csr

CN: 为 mkt

$ openssl req -new -key mkt.key -out mkt.csr -subj "/CN=mkt"

把 csr 发给 apiserver 的 ca 生成 crt

$ openssl x509 -req -in mkt.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out mkt.crt -days 1095
Signature ok
subject=CN = mkt
Getting CA Private Key

生成文件:

root@master1:~/tmp# ls
mkt.crt  mkt.csr  mkt.key

查看证书

$ openssl x509 -in mkt.crt -text -noout

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            01:60:fb:9a:ce:5e:59:28:b0:e3:d6:76:90:99:eb:52:41:a5:b9:86
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = kubernetes
        Validity
            Not Before: Jan  3 06:44:53 2024 GMT
            Not After : Jan  2 06:44:53
最低0.47元/天 解锁文章
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1366
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
云原生kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
jks212454的博客
08-07 358
云原生kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
一次calico问题排查
qq_44397993的博客
04-22 2534
k8s集群出现一台主机calico重启,无法重新添加路由 当时查看了下kubelet的日志,发现有报错证书无效,查看了集群内其它环境主机,路由都正常,按理说不应该是证书无效才对 开始看下calico的日志,发现有报Liveness probe failed: calico/node is not ready: bird/confd is not live: exit status 1 /BIRD is not ready: Error querying BIRD: unable to connect to.
calico问题——kube-apiserver报错了服务kubernetes/default的集群IP 10.0.0.1不在服务CIDR 169.169.0.0/16内;请重新创建.
weixin_43804233的博客
05-08 434
安装网络插件,并运行会生成有关cni文件目录,里面会显示要使用的master cluster ip,一定要和master_ssl.cnf中对应上,不然后面会导致容器无法正常运行!这里的ip段是有讲究的,不然后面安装的calico网络插件会找不到,会报错。一定要检查kube-apiserver的配置文件。ps:不懂就记录,好记性不如烂文档。这三个是三个master的运行情况。
Kubernetes网络插件选择与区别之Calico网络插件详解 中集
soso678的博客
03-27 769
接上文 https://blog.youkuaiyun.com/soso678/article/details/146566189?在k8s最新1.32.3版本中安装calico
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
longchangfeng的博客
02-23 2028
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
kubernetes实际生产中遇到的问题及解决办法
weixin_38924998的博客
01-11 1778
特别是,错误信息中提到了"Kernel and userspace incompatible: settype hash:ip,port with revision 7 not supported by userspace",这表明内核和用户空间之间的不兼容性。以上问题是calico-node启动失败导致的calico-apiserver一直处于Pending状态。calico启动失败,pod状态running,但是ready这里只有0/1,实际没有运行。降低系统内核版本或是变更calico的版本。
部署calico网络插件
lldhsds的专栏
07-01 3309
之前的k8s环境中主要使用了flannel作为网络插件,这次改用calicocalico支持多种安装方式,以下是具体的操作步骤。
Kubernetes--API Server
GaoChuang_的博客
11-06 1433
一、Kubernetes API Server功能 Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、RC、Server等)的增、删、改、查及watch等HTTP REST接口,成为集群内各个功能模块之间数据交互和通信中心枢纽,是整个系统的数据总线和数据中心。除此之外,它还是集群管理的API入口,是资源配额控制的入口,提供了完备的集群安全机制。 二、Kubernetes API Server核心原理 通过curl 命令访问 API...
云原生实战 Kubernetes集群管理与使用.pdf
05-07
用户只需将 `Federated Resource` 创建到 Host 集群的 API Server 中,然后由 `controller-manager` 完成资源的分发。 - **分发逻辑**:Federation v2 在逻辑上分为 configuration(配置)和 propagation(分发)...
K8S Calico网络插件
热门推荐
dz45693的专栏
05-25 1万+
0.前言 参考文档:https://github.com/containernetworking/cni Pod网络插件,为了实现Pod网络而需要的插件、组件。由于Kubernetes通过开放的CNI接口来允许插件的接入,所以它又称之为CNI网络插件。 为了解决跨主机容器间通信问题,市面上存在很多解决方案,为了兼容和规范这些解决方案,Kubernetes仅设计了网络模型,却将Pod网络的实现交给了CNI网络插件,并允许网络插件通过标准的CNI(Container Network Interface,容器
k8s add node calico_k8s高可用架构部署(转载)
weixin_39850699的博客
11-29 427
目录· kubeadm介绍· kubeadm概述· kubeadm功能· 本方案描述· 部署规划· 节点规划· 初始准备· 互信配置· 其他准备· 集群部署· 相关组件包· 正式安装· 部署高可用组件· HAProxy安装· Keepalived安装· 创建配置文件· 启动服务· 初始化集群· 拉取镜像· Master上初始化· 添加其他master节点· 安装NIC插件· NIC插件介绍· 设置...
【实战加详解】二进制部署k8s高可用集群教程系列十三 - 部署calico
JohnYang's 优快云 Home
10-13 680
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
K8S二进制环境搭建苹果电脑(M1芯片)
沐浴在阳光下的鬼的博客
01-17 1035
calico pull 失败问题处理、k8s M1部署
k8s-高可用部署-calico插件
因上努力,果上随缘。但行好事,莫问前程。
04-27 2926
kubernetes高可用部署参考:Creating Highly Available Clusters with kubeadm | KubernetesGitHub - kubernetes-sigs/kubespray: Deploy a Production Ready Kubernetes ClusterGitHub - wise2c-devops/breeze: Deploy a Production Ready Kubernetes Cluster with graphical interfa
《k8s中的网络安全丨PKI知识梳理》
u010389826的博客
05-06 2210
pki体系讲解与k8s中的证书机制
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
一起来学k8s 14.kubernetes config
隔壁小翔
07-14 654
kubernetes config 环境 192.168.48.101 master01 192.168.48.201 node01 192.168.48.202 node02 查看config文件 [root@master01 ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authori...
K8s安全总结
liukuan73的专栏
12-05 8995
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
Kubernetes 集群搭建智慧校园项目
最新发布
06-07
嗯,用户现在想搭建一个基于Kubernetes集群的智慧校园项目,询问具体部署管理方法。之前提供的系统引用很有价值,特别是关于容器化技术和高校智慧校园痛点的描述。用户应该是个高校信息化负责人或技术主管,正在推进...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M·K·T

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值