k8s之基于用户/用户组授权

最新推荐文章于 2025-03-29 15:54:59 发布
最新推荐文章于 2025-03-29 15:54:59 发布
阅读量2.0k 收藏 4
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes docker 运维 linux k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41586875/article/details/124638110
版权
本文详细介绍了如何在Kubernetes环境中创建和颁发客户端证书,包括使用CFSSL和OpenSSL工具,以及基于用户和组的权限控制。重点展示了如何通过证书标识用户身份并分配不同角色的权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验环境

主机权限
k8s-master-1admin
k8s-node-1

签发用户证书

  • 创建kubectl证书请求文件,必须要由和apiserver证书相同机构来颁发这个证书,否则apiserver使用它的CA公钥无法认证这个证书
  • 如果提供了客户端证书并且证书被验证通过,则 subject 中的公共名称(Common Name)就被 作为请求的用户名
  • Kubernetes 1.4 开始,客户端证书还可以通过证书的 organization 字段标明用户的组成员信息。 要包含用户的多个组成员信息,可以在证书种包含多个 organization 字段:openssl req -new -key jbeda.pem -out jbeda-csr.pem -subj "/CN=jbeda/O=app1/O=app2"

创建证书请求文件

cfssl csr格式参考链接https://github.com/cloudflare/cfssl/wiki/Creating-a-new-CSR

  • "CN":Common Name,设置用户名为user1

  • "C": country

  • "ST": the state or province

  • "L": locality or municipality (such as city or town name)

  • "O": organisation,设置属于二个组,group1,group2

  • "OU": organisational unit, such as the department responsible for owning the key; it can also be used for a “Doing Business As” (DBS) name

[root@k8s-master-1 different]# cat > kubectl-csr.json <<EOF
{
  "CN": "user1",
  "hosts": [],					# 这里设置host也不生效,无法限制,原因未知
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "hunan",
      "L": "changsha",
      "O": "group1",
      "OU": "system"
    }
  ]
}
EOF

颁发证书

  • -ca:签发apiserver证书的CA证书
  • -ca-key:私钥
  • -config:CA配置
# 生成证书
	cfssl gencert -ca=/root/cluster/pki/kube-apiserver-ca.pem -ca-key=/root/cluster/pki/kube-apiserver-ca-key.pem -config=/root/cluster/pki/ca-config.json -profile=kubernetes kubectl-csr.json | cfssljson -bare kubectl
	

# 或者使用openssl方式
	openssl genrsa -out kubectl-key 2048
	openssl req -new -key kubectl-key -out kubectl.csr -subj "/CN=user1/O=group1/O=group2"
	openssl x509 -req -CA /root/cluster/pki/kube-apiserver-ca.pem -CAkey /root/cluster/pki/kube-apiserver-ca-key.pem -CAcreateserial -days 730 -in kubectl.csr -out kubectl.crt

# 查看生成的证书
[root@k8s-master-1 different]# ls
kubectl.csr  kubectl-csr.json  kubectl-key.pem  kubectl.pem

# 设置集群参数
	kubectl config set-cluster kubernetes --certificate-authority=/root/cluster/pki/kube-apiserver-ca.pem --embed-certs=true --server=https://192.168.0.10:6443 --kubeconfig=kube.config
	
# 设置客户端认证参数,生成了一个kubectl的user,里面包含了证书
	kubectl config set-credentials kubectl --client-certificate=kubectl.pem --client-key=kubectl-key.pem --embed-certs=true --kubeconfig=kube.config

# 设置上下文参数,--user,使用上面的kubectl,这里仅仅是标识区分作用,实际不会以这个用户去向apiserver通信
	kubectl config set-context kubernetes --cluster=kubernetes --user=kubectl --kubeconfig=kube.config

# 设置默认上下文
	kubectl config use-context kubernetes --kubeconfig=kube.config

# 将kube.config传到k8s-node-1
[root@k8s-master-1 different]# ssh root@k8s-node-1 "mkdir -p /root/.kube/" && scp kube.config root@k8s-node-1:/root/.kube/config

# k8s-node-1 执行命令,因为此时未授权故而没法正常
[root@k8s-node-1 .kube]# kubectl get pods -A
Error from server (Forbidden): pods is forbidden: User "user1" cannot list resource "pods" in API group "" at the cluster scope

基于用户和组颁发权限

cluster-admin 是通过system:masters组方式进行授权,如果我们在创建用户证书时,/CN=XX/O=system:masters,那么这个用户就拥有超级管理员的权限

基于用户授权

# 基于用户方式授权,cluster-admin 这个clusterrole权限很大,可以操作集群内所有资源,也可以使用自定义的clusterole
[root@k8s-master-1 different]# kubectl create clusterrolebinding kubectl-test --clusterrole=cluster-admin --user=user1
clusterrolebinding.rbac.authorization.k8s.io/kubectl-test created

# 授权完成后,看是否可以执行相关命令
[root@k8s-node-1 .kube]# kubectl get nodes
NAME           STATUS   ROLES    AGE     VERSION
k8s-master-1   Ready    master   5d19h   v1.20.15
k8s-node-1     Ready    node     5d19h   v1.20.15

# 删除授权
[root@k8s-master-1 different]# kubectl delete clusterrolebinding kubectl-test
clusterrolebinding.rbac.authorization.k8s.io "kubectl-test" deleted

基于用户组授权

# 基于用户组授权
[root@k8s-master-1 different]# kubectl create clusterrolebinding kubectl-test --clusterrole=cluster-admin --group=group1
clusterrolebinding.rbac.authorization.k8s.io/kubectl-test created

# 授权后,查看是否可以执行相关命令
[root@k8s-node-1 .kube]# kubectl get nodes
NAME           STATUS   ROLES    AGE     VERSION
k8s-master-1   Ready    master   5d19h   v1.20.15
k8s-node-1     Ready    node     5d19h   v1.20.15

# 删除授权
[root@k8s-master-1 different]# kubectl delete clusterrolebinding kubectl-test
clusterrolebinding.rbac.authorization.k8s.io "kubectl-test" deleted
K8s --k8s访问控制
ly660402的博客
02-27 458
API Server 是K8s重要的管理API 层。它负责提供restful api访问端点, 并且将数据持久化到etcd server中。Kubernetes 集群中,API Server 扮演着交互入口的位置。API Server 不仅负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),并切对外提供统一的API调用入口, 所有的交互都是以 API Server 为核心的。 kubernetes API 访问控制 Authentication(认证) 认证.
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2743
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
云计算虚拟化:k8s认证流程&用户&用户组&权限相关
dustzhu的博客
09-28 1772
一. 前言 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户/用户;前者由Kubernetes进行管理主要用于pod;后者由外部应用进行管理,主要是人 在安全方面,Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等, Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server
Kubernetes(k8s)-RBAC用户账户(UserAccount)介绍&应用
最新发布
03-29 469
我们上一小节介绍了使用RBAC给服务账户(ServiceAccount)添加权限,这个这个方式一般用于Pod内部,如果需要应用到Pod外部,比如我需要另外一个人来帮我维护我这个Kubernetes集群,但是我不能给他管理员权限,我需要给他创建一个相对较小的权限:比如我只允许他操作命名空间:user001;资源:pod,svc,权限:所有。
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1357
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
k8s】API Group 群组(kubectl api-resources)
m0_45406092的博客
04-30 1197
在使用k8s进行服务的部署过程中我们会使用到Deployment、Service、Pod等资源,在 yaml 文件中我们需要指定对应的 API 版本,我们可以通过访问相应的接口来管理相应的资源信息,在 k8s 中为了提高 API 的可扩展性,采用了 API Groups 进行标识这些接口,在 client-go 源码中就是通过指定的 API Groups 来访问 k8s 集群的,这里向大家介绍 API Groups 都有哪些,希望对你有帮助。
k8s创建用户账号——User Account
热门推荐
cbmljs的博客
11-07 1万+
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
基于jenkins+k8s(container)实现CI/CD
05-31 680
利用 Jenkins、SonarQube、Harbor、Container、Kubernetes技术,搭建一个完整的 CI/CD 管道,模拟实际生产环境项目开发部署流程,实现持续集成、持续交付和持续部署。通过自动化构建、测试、代码质量检查和容器化部署,将开发人员从繁琐的手动操作中解放出来,提高团队的开发效率、软件质量和安全性,实现持续更新迭代和持续部署交付。不同项目可能使用不同的编程语言、框架或库,这导致了每个Slave的配置环境各不相同。
K8S如何基于Istio重新实现微服务
CharlesYan的博客
10-24 1516
istio作为微服务的一种解决方案,将大有可为
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 969
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8s中的认证授权
K1487994142的博客
10-14 973
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
如何创建一个用户授权操作k8s集群的过程?
Free雅轩的博客
06-24 1183
本篇带给大家如何创建一个用户授权操作k8s集群的过程。希望对你有所帮助! 背景 172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。 创建访问architechure命名空间的用户 1.给用户devops 创建一个私钥 opensslgenrsa-outdevops.key2048 2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组) opens...
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 2187
1、K8s安全框架和基本概念。 2、RBAC用户授权用户组授权、sa程序授权
Linux企业实战之容器(二十一)——Kubernetes(10)
bdkl9998的博客
07-11 224
kubernetes访问控制
关于 K8S API Resources: Group 和 Version 该怎么写
runzhliu大数据/容器日记
08-25 4669
文章目录OverviewAPI ResourcesAPI VersionsSummary 原来地址: https://akomljen.com/kubernetes-api-resources-which-group-and-version-to-use/ Overview Kubernetes 使用声明式 API 来使得系统更加的健壮。但是这也意味着如果我们要创建一个对象,我们可以通过 CL...
user和group
weixin_38076419的博客
04-06 515
#######################UNIT5 1.用户      1)用户就是系统使用者      2)用户在系统存储为若干字符串+若干配置文件      3)用户涉及的系统配置文件为:  *)/etc/passwd ##用户具体信息  用户:密码:uid:gid:说明:家目录:用户使用shell 在命令行输入 vim /etc/passwd;截取部分  如下图:    *)/et...
K8S用户管理体系介绍
singless的博客
08-17 1606
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户。
K8s--访问控制
小螺号的博客
03-23 405
文章目录一、访问控制的几种方式二、UserAccount1.创建UserAccount2.RBACRoleBindingClusterRoleBinding三、服务账户的自动化 一、访问控制的几种方式 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Ser
k8s rbac用户授权逻辑
02-13
### Kubernetes RBAC 用户授权机制 #### 角色定义 在Kubernetes中,RBAC(基于角色的访问控制)用于管理谁可以做什么以及在哪里做。一个角色是一组权限规则的集合[^5]。这些权限以累加的方式组合在一起,并不存在否定规则。 对于特定命名空间内的资源,权限可以通过`Role`对象来定义;而对于跨所有命名空间或集群级别的资源,则使用`ClusterRole`对象。 #### 绑定用户与角色 为了使普通用户获得对集群内资源的操作能力,必须先将其绑定至适当的角色上。这通常通过创建`RoleBinding`或`ClusterRoleBinding`资源完成。前者适用于单个命名空间范围内的角色分配,后者则是针对全局性的`ClusterRole`进行绑定[^3]。 例如,要授予某位开发者对其开发环境所在命名空间下的Pods完全读写权限: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: development name: pod-editor rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "create", "update", "patch", "delete"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: developer-pod-access namespace: development subjects: - kind: User name: "developer@example.com" roleRef: kind: Role name: pod-editor apiGroup: rbac.authorization.k8s.io ``` 这段配置首先定义了一个名为`pod-editor`的角色,它允许执行一系列关于Pod的操作。接着,通过`RoleBinding`将这个角色赋予给指定邮箱地址对应的用户,在此案例中即为`developer@example.com`。 #### 特殊角色 值得注意的是存在一些预设好的特殊角色,比如`cluster-admin`,该角色拥有几乎不受限制的最大化权限(`verbs=*`),可用于管理和维护整个Kubernetes集群[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值