k8s中手动创建User并认证、授权供jenkins使用

已于 2022-03-02 16:11:30 修改
阅读量2.1k 收藏 3
点赞数
分类专栏: k8s 文章标签: kubernetes jenkins
于 2020-11-10 15:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_33622098/article/details/109600135
版权

1. 手动创建原因

云环境自带的,一般会自动生成identity,或者用相关命令创建,比如Google的gke,需要创建GSA和KSA,然后用KSA impersonate(模仿)GSA,生成json形式的key文件,就可以用gcloud命令授权使用了,具体可点击此处查看gke的ksa授权详情。
kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含user account的kubeconfig,k8s版本1.18,步骤如下:

1.1. 创建useraccount

此处创建的是全局性的用户账户,只是通过认证Authentication,还没有绑定集群角色。
User name为jenkins的用户向名称为kubernetes的k8s发起authentication,关于ca签名认证的原理,这里不在赘述,可参看其他文章。
执行如下脚本生成名称为jenkins.kubeconfig的kubeconfig文件:

cat kubeconfig.sh
		KUBE_APISERVER="https://10.70.128.50:6443"
		# 设置集群参数
		kubectl config set-cluster kubernetes \
		  --certificate-authority=/opt/kubernetes/ssl/ca.pem \
		  --embed-certs=true \
		  --server=${KUBE_APISERVER} \
		  --kubeconfig=jenkins.kubeconfig
		# 设置客户端认证参数
		kubectl config set-credentials jenkins \
		  --client-certificate=/opt/kubernetes/ssl/server.pem \
		  --client-key=/opt/kubernetes/ssl/server-key.pem \
		  --embed-certs=true \
		  --kubeconfig=jenkins.kubeconfig
		# 设置上下文参数
		kubectl config set-context default \
		  --cluster=kubernetes \
		  --user=jenkins \
		  --kubeconfig=jenkins.kubeconfig
		# 设置默认上下文
		kubectl config use-context default --kubeconfig=jenkins.kubeconfig

执行sh kubeconfig.sh 生成名称为jenkins.kubeconfig的kubeconfig文件

1.2. 基于RBAC(基于角色访问控制)的授权Authorization,创建以下集群角色,并绑定上面创建的user:jenkins

cat jenkins_rbac.yml
	kind: ClusterRole
	apiVersion: rbac.authorization.k8s.io/v1
	metadata:
	  name: myclusterrole
	rules:
	- apiGroups: [""]
	  resources: ["pods","services"]
	  verbs: ["get", "watch", "list", "delete", "create", "update"]
	- apiGroups: [""]
	  resources: ["secrets"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	- apiGroups: ["extensions", "apps"]
	  resources: ["deployments"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	- apiGroups: ["networking.k8s.io"]
	  resources: ["ingresses"]
	  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
	---
	apiVersion: rbac.authorization.k8s.io/v1
	kind: ClusterRoleBinding
	metadata:
	  name: clusterrolebinding-myclusterrole
	roleRef:
	  apiGroup: rbac.authorization.k8s.io
	  kind: ClusterRole
	  name: myclusterrole
	subjects:
	- apiGroup: rbac.authorization.k8s.io
	  kind: User
	  name: jenkins

创建并绑定角色:kubectl apply -f jenkins_rbac.yml
集群权限如上图
注意,下面截图的User,应为jenkins
此处的User应该为Jenkins

2. Jenkins安装Config File Provider插件,将生产的kubeconfig文件粘贴到如下图中Jenkins的位置:

cat jenkins.kubeconfig

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS...
    server: https://10.70.128.50:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: jenkins
  name: default
current-context: default
kind: Config
preferences: {}
users:
- name: jenkins
  user:
    client-certificate-data: LS0tLS...
    client-key-data: LS0tLS1CRUdJT...

config filemanagement
在这里插入图片描述

3. pipeline使用

设置完成,就可以通过在pipeline中configFileProvider([configFile(fileId: "${k8s_auth}", targetLocation: "admin.kubeconfig")])来使用

K8S认证授权与准入控制(RBAC)详解
IT8421的博客
04-18 3987
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提给有限使用者的系统上,认证授权都是两个必...
k8s创建用户账号——User Account
码农崛起
08-17 3500
用户账户和用户组 Kubernetes 不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独
基于k8sJenkins CI/CD平台部署实践(一):Jenkins部署详解
最新发布
沉淀自己
04-30 2208
Jenkins 是一款开源的自动化持续集成与持续交付(CI/CD)工具,拥有丰富的插件生态和高度可配置的流水线系统。它能够帮助开发团队实现自动化构建、测试、打包、部署等流程,从而提高开发效率与软件交付质量。得益于其良好的可扩展性和与主流版本控制、构建工具、容器平台(如 Docker、Kubernetes)的高度兼容,Jenkins 已成为 DevOps 实践中的核心工具之一。
K8S创建用户账号User Account赋予权限
weixin_44207346的博客
06-12 710
【代码】K8S创建用户账号User Account赋予权限。
k8s 创建UserAccount
qq_32783703的博客
09-07 316
k8s 创建UserAccount。
k8s-jenkins安装使用(pipeline方式)
weixin_44257754的博客
08-30 546
k8s-jenkins使用及配合k8s集群使用
使用jenkins流水线完成自动部署服务到K8s
热门推荐
weixin_37069728的博客
07-25 1万+
通过本文章,您可以轻松入门cicd过程。本地测试环境为springboot微服务项目。用户提交代码到gitlab,触发jenkins拉取gitllab上的代码,然后完成编译构建成jar包,同步完成sonarsqube代码质量检测。然后在jenkins内部完成生成镜像,将镜像推送到harbor仓库中,然后通过K8s完成服务的部署。...
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI_CD解决方案
北京少女的梦
07-04 3479
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI/CD解决方案
基于jenkins+k8s(container)实现CI/CD
05-31 687
利用 Jenkins、SonarQube、Harbor、Container、Kubernetes技术,搭建一个完整的 CI/CD 管道,模拟实际生产环境项目开发部署流程,实现持续集成、持续交付和持续部署。通过自动化构建、测试、代码质量检查和容器化部署,将开发人员从繁琐的手动操作中解放出来,提高团队的开发效率、软件质量和安全性,实现持续更新迭代和持续部署交付。不同项目可能使用不同的编程语言、框架或库,这导致了每个Slave的配置环境各不相同。
基于K8s构建Jenkins持续集成平台(部署流程)
m0_59430185的博客
03-17 8063
文章目录一、传统Jenkins的Master-Slave方案的缺陷二、K8s+Docker+Jenkins持续集成架构1. 架构图2. 持续集成优点三、K8S 集群部署1. 环境配置2. 安装kubelet、kubeadm、kubectl3.Master节点上进行配置4. 安装Calico5.Slave节点6. 验证部署结果四、部署配置 NFS1. 安装NFS服务2. 创建共享目录3. 启动服务4. 查看NFS共享目录五、K8S上安装Jenkins-Master1. 创建NFS client provisi
k8s(九)—访问控制(创建serviceaccount账号、创建useraccount账号)
qq_43114229的博客
04-17 5342
1.访问控制简介 2.创建sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创建sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创建成功 default 1 5d19h [root@se
k8s创建普通用户
whz-emm的博客
10-27 1778
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
创建k8s账号与RBAC授权使用
宇博士的博客
12-16 335
4.查看权限(只授权了default名称空间pod和svc的get,list,watch权限)2.绑定用户soso(上面创建的用户),绑定用户到role-reader。3、设置上下文环境--指的是创建这个账号的环境在当前名称空间中。10.查看权限 查看kube-system空间的pod。6.删除soso账号之前绑定的rolebinding。创建一个角色(role)---设置权限。--resource:给什么资源使用。8.绑定集群角色到用户soso。--verb: 相当于是权限。4、切换用户(切换上下文)
创建k8s普通用户
Dang_Ni的博客
08-04 352
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
K8S学习指南(37)-k8s权限管理对象User
俞兆鹏的博客
12-24 1292
通过本文,我们深入了解了Kubernetes中权限管理对象用户的基本概念、创建方式,通过详细的示例演示了如何手动创建用户,为其配置访问权限。用户的主要作用是在Kubernetes集群中唯一标识执行操作的实体,通过与角色(Role)和角色绑定(RoleBinding)等进行关联,从而获取对资源的访问权限。在示例中,我们将演示如何手动创建一个用户,将其与集群中的Role和RoleBinding关联,以实现对资源的访问权限。的用户,指定了该用户的客户端证书和密钥。上述示例中,创建了一个名为。
k8suser account
fengcai_ke的博客
07-11 1286
k8s user account
k8s 创建普通用户使用
weixin_42562106的博客
11-09 632
【代码】k8s 创建普通用户使用
K8S集群 - 创建用户访问授权
caryeko的专栏
07-29 206
创建一个用户信息:create-account.yaml。用户信息绑定权限:rule-binding.yaml。
gitlab自动部署.net8 webapi项目,不使用jenkinsk8s和docker。服务器为centos7
03-31
<think>好的,用户想用GitLab自动部署.NET 8 WebAPI项目,而且不使用JenkinsK8s和Docker,服务器是CentOS7。首先,我得理清楚用户的需求。他们可能希望一个简单直接的部署流程,避免复杂的工具,可能是因为资源有限或者对容器技术不熟悉。 接下来,我得考虑如何在不使用Docker的情况下部署.NET应用。.NET Core支持自包含部署,所以可能需要将应用发布为自包含的可执行文件,然后通过GitLab CI/CD直接复制到服务器上执行。同时,用户用的是CentOS7,需要注意.NET运行时是否安装,或者是否需要自包含发布。 然后,GitLab Runner的配置是关键。用户需要在服务器上安装GitLab Runner,注册到项目中。需要确认Runner的类型,比如shell executor可能更简单,但需要确保环境配置正确。同时,可能需要设置SSH连接,让Runner能够将构建后的文件传输到目标服务器。 另一个要考虑的是自动化步骤。构建阶段需要运行dotnet restore、build、publish,然后通过SCP或者rsync将文件传输到服务器,最后重启服务。可能需要配置服务单元文件,使用systemd来管理应用的运行,这样部署后可以自动重启应用。 还需要考虑环境变量和配置文件的管理,比如appsettings.json是否需要根据不同的环境进行替换。另外,SSL证书的处理,如果应用需要HTTPS,可能需要在部署脚本中配置。 安全问题也不能忽视,比如SSH密钥的管理,如何在GitLab CI/CD中安全地存储服务器的SSH私钥,避免泄露。可能需要使用GitLab的Variables来存储敏感信息。 最后,测试整个流程,确保每个步骤都能正确执行,处理可能出现的错误,比如文件权限问题、服务启动失败等,日志记录以便排查问题。 用户可能没有提到的一些潜在问题包括服务器上的依赖项,比如libicu等.NET运行时的依赖是否安装,或者防火墙设置是否允许外部访问部署后的应用。这些都需要在文档中提及,帮助用户全面解决问题。</think>以下是基于GitLab CI/CD实现.NET 8 WebAPI项目自动部署到CentOS7服务器的完整方案(不使用Docker/K8s/Jenkins): --- ### **1. 环境准备** #### **服务器端配置** ```bash # CentOS7安装.NET 8 SDK sudo rpm -Uvh https://packages.microsoft.com/config/centos/7/packages-microsoft-prod.rpm sudo yum install dotnet-sdk-8.0 # 安装Web服务器(可选Nginx) sudo yum install nginx sudo systemctl start nginx ``` #### **GitLab Runner安装** ```bash # 添加GitLab官方仓库 curl -L https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.rpm.sh | sudo bash # 安装注册Runner sudo yum install gitlab-runner sudo gitlab-runner register ➜ 输入GitLab URL和注册令牌 ➜ 选择执行器类型:shell ``` --- ### **2. 项目配置** #### **创建`.gitlab-ci.yml`文件** ```yaml stages: - build - deploy variables: PROJECT_NAME: "YourWebApiProject" OUTPUT_DIR: "publish-output" SERVER_IP: "192.168.1.100" DEPLOY_PATH: "/var/www/${PROJECT_NAME}" build: stage: build script: - dotnet restore - dotnet build --configuration Release --no-restore - dotnet publish --configuration Release --output ${OUTPUT_DIR} --runtime linux-x64 --self-contained true artifacts: paths: - ${OUTPUT_DIR}/ deploy: stage: deploy script: - echo "正在部署到 ${SERVER_IP}" - ssh user@${SERVER_IP} "sudo mkdir -p ${DEPLOY_PATH} && sudo chmod 755 ${DEPLOY_PATH}" - scp -r ${OUTPUT_DIR}/* user@${SERVER_IP}:${DEPLOY_PATH} - ssh user@${SERVER_IP} "sudo systemctl restart ${PROJECT_NAME}.service" only: - main # 仅主分支触发 ``` --- ### **3. 服务器服务配置** #### **创建systemd服务文件** ```bash sudo vi /etc/systemd/system/YourWebApiProject.service ``` ```ini [Unit] Description=My .NET 8 WebAPI Application [Service] WorkingDirectory=/var/www/YourWebApiProject ExecStart=/var/www/YourWebApiProject/YourWebApiProject --urls "http://*:5000" Restart=always RestartSec=10 SyslogIdentifier=dotnet-webapi User=www-data Environment=ASPNETCORE_ENVIRONMENT=Production [Install] WantedBy=multi-user.target ``` #### **应用配置** ```bash sudo systemctl daemon-reload sudo systemctl enable YourWebApiProject.service sudo firewall-cmd --permanent --add-port=5000/tcp sudo firewall-cmd --reload ``` --- ### **4. 关键安全配置** #### **SSH免密登录** ```bash # 在GitLab Runner服务器生成密钥对 ssh-keygen -t rsa -b 4096 # 复制公钥到目标服务器 ssh-copy-id -i ~/.ssh/id_rsa.pub user@192.168.1.100 # 在GitLab CI/CD变量中添加: # 变量名:SSH_PRIVATE_KEY 变量值:私钥内容(敏感标记) ``` #### **修改`.gitlab-ci.yml`的deploy阶段** ```yaml deploy: before_script: - mkdir -p ~/.ssh - echo "${SSH_PRIVATE_KEY}" > ~/.ssh/id_rsa - chmod 600 ~/.ssh/id_rsa - ssh-keyscan ${SERVER_IP} >> ~/.ssh/known_hosts # 原有脚本保持不变 ``` --- ### **5. 高级配置建议** 1. **环境区分**:通过`environment`关键字实现多环境部署 ```yaml deploy_prod: extends: deploy variables: SERVER_IP: "192.168.1.100" environment: production deploy_staging: extends: deploy variables: SERVER_IP: "192.168.1.101" environment: staging ``` 2. **健康检查**:添加部署后验证 ```yaml - ssh user@${SERVER_IP} "curl -sSf http://localhost:5000/healthcheck > /dev/null" ``` 3. **回滚机制**:通过保留历史版本实现 ```bash # 服务器端创建版本目录 /var/www/YourWebApiProject ├── releases │ ├── 20240101-120000 │ └── 20240102-150000 └── current -> releases/20240102-150000 ``` --- ### **6. 常见问题排查** 1. **权限问题**: ```bash sudo chown -R www-data:www-data /var/www/YourWebApiProject sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/YourWebApiProject(/.*)?" sudo restorecon -Rv /var/www/YourWebApiProject ``` 2. **依赖缺失**: ```bash sudo yum install libicu libunwind openssl-libs ``` 3. **查看服务日志**: ```bash journalctl -u YourWebApiProject.service -f ``` --- 通过此方案可实现:代码推送 → 自动构建 → 直接部署到CentOS7服务器 → 服务自动重启的全流程自动化。建议首次部署时手动执行各步骤验证环境配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值