kubernetes创建只具有只读权限的账号

最新推荐文章于 2024-09-25 13:52:48 发布
最新推荐文章于 2024-09-25 13:52:48 发布
阅读量816 收藏 2
点赞数 1
文章标签: kubernetes github 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37256882/article/details/128387151
版权

日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。

本文创建一个只具有只读权限的ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限。

安装cfssl和cfssljson工具用于生成证书

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

新增用于生成Client证书的Json文件

[root@VM-12-8-centos readonly]# cat readonly.json
  {
    "CN": "readonly",  
    "hosts": [],
    "key": {
    "algo": "rsa",
    "size": 2048
    },
    "names": [
    {
      "C": "CN",
      "ST": "HangZhou",
      "L": "HangZhou", 
      "O": "dev:readonly&#
最低0.47元/天 解锁文章
beretxj_
关注
kubernetes集群添加dashbaord只读权限账户登录
rendongxingzhe的博客
04-20 629
一.创建集群角色ClusterRole,赋予只读权限 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: dashboard-viewonly rules: - apiGroups: - "" resources: - configmaps - endpoints - persistentvolumeclaims - pods - replicationcontrollers
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
热门推荐
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
kubernetes创建只读用户
国产-达芬奇
02-26 1267
一、配置文件 1、kubeconfig文件 /root/.kube/config文件内容如下: apiVersion: v1 clusters: - cluster: certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUM1后面的省略了。。。。。 server: https://192.168.1.10:6443 name: kubernetes contexts: - context: ...
kubernetes实战篇之创建一个只读权限的用户
weixin_30881367的博客
07-03 350
系列目录 上一节我们讲解到了如何限制用户访问dashboard的权限,这节我们讲解一个案例:如何创建一个只读权限的用户. 虽然可以根据实际情况灵活创建各种权限用户,但是实际生产环境中往往只需要两个就行了一个是前面创建的拥有集群所有权限的用户,另一个是一个拥有只读权限的普通用户.把只读权限分配给开发人员,使得开发人员也可以很清楚地看到自己的项目运行的状况. 在进行本章节之前,大家可以思考一下怎么...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2653
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
k8s多集群管理(只读用户)
因上努力,果上随缘。但行好事,莫问前程。
09-25 369
其他集群重复此操作,这样就可以实现通过一台只读机,切换集群上下文的方式,访问各个k8s集群了。
kubernetes创建Dashboard只读账号
m0_37732829的博客
03-15 995
vim viewonly-sa.yml --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: admin-viewonly rules: - apiGroups: - "" resources: - configmaps - endpoints - persistentvolumeclaims - pods - replicationcontrollers - repl
为K8S集群建立只读权限帐号
01-18 623
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://pkg.cfs...
创建对K8s资源对象仅有只读权限的Linux系统用户
weixin_40930677的博客
03-04 748
一. 基础知识: K8s默认采用RBAC鉴权方式,包含4个顶级资源对象,Role/ClusterRole/RoleBinding/ClusterRoleBinding Role/ClusterRole:角色和集群角色,角色/集群角色 = 一组对K8s资源对象操作权限的集合(如get pod,delete deployment等操作均需要权限) RoleBinding/ClusterRoleBinding:角色绑定和集群角色绑定,通过这两种资源对象,可以将Role/ClusterRole与集群中对象进行绑定
ES创建只读用户
大叶子不小的博客
05-31 1739
上面的命令将创建一个名为 "searchuser" 的新用户,并将其分配给一个名为 "search_role" 的新角色。这个角色只能执行搜索操作,不能进行写入(write)操作。上面的命令将使用新的 "searchuser" 帐户进行搜索操作,由于该帐户只被授予了 "search_role" 角色,因此只能进行搜索操作,不能进行写入操作。上面的命令将创建一个名为 "search_role" 的新角色,并将其限制为只能读取名为 "index_name" 的索引。的官方文档进行深入学习和了解。
如何创建用户只读权限的kubeconfig
weixin_41831919的博客
07-05 1343
创建kube-reader目录 mkdir /root/kube-reader cd /root/kube-reader 安装cfssl ,执行脚本 #!/bin/bash wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 chmod +x cfssl_linux-amd64 mv cfssl_linux-amd64 /usr/local/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_.
K8s开启容器文件系统只读功能
sre救赎之路
04-03 788
K8s启动的容器根目录权限可读写,存在安全隐患。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 8836
Kubernetes 的 Service Account 是如何工作的
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
CDH 搭建impala,kudu 建表插入数据问题总结
Rudolf__的博客
11-07 1641
环境前提:cdh安装了hdfs/hive/yarn/zk/impala/kudu,所以集群都启动,且各个服务web-ui都可以访问,kudu-master-ui找不到tservers,端口都启动正确,用netstat -anlp|grep 端口 1.impala不能插入数据,unable to find SASL plugin: PLAIN 主要是确实依赖, yum install gcc python-devel yum install cyrus-sasl* 2.不能创建kudu表,...
Kubernetes RBAC Authorization(基于角色的访问控制)
山不转的博客
07-12 4946
基于角色的访问控制(RBAC),是一种其于用户的角色控制其对资源访问的方法。RBAC利用rbac.authorization.k8s.io API组实现授权决策,允许管理通过kubernetes API动态配置策略。在kubernetes 1.8版本中RBAC成为稳定特性,由rbac.authorization.k8s.io/v1 API在后端实现。通过为apiserver指定--authoriz...
高斯数据库使用root账号创建只读权限账号
最新发布
12-13
要使用`root`账号创建一个拥有只读权限账号,你可以按照以下步骤操作: 1. 登录到高斯数据库系统,使用`root`账号连接: ```sql psql -U root -d <your_database> -h ``` 2. 创建一个新的角色,例如命名为`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值