kubernetes pod日志查看用户创建

已于 2023-10-11 11:41:40 修改
阅读量615 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes学习专栏 文章标签: kubernetes 容器 云原生
于 2023-10-10 19:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38367535/article/details/133753576

目录

1.创建用户

1.1证书创建

1.2创建用户

1.3允许用户登陆

1.4切换用户

1.5删除用户

2.RBAC

2.1允许user1用户查看pod日志

3.使用用户

1.创建用户

1.1证书创建

进入证书目录
# cd /etc/kubernetes/pki

创建key
# openssl genrsa -out user1.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................................+++
........+++
e is 65537 (0x10001)

创建csr
# openssl req -new -key user1.key -out user1.csr -subj "/CN=user1"

查看创建结果
# ll
total 72
-rw-r--r-- 1 root root 1310 Jun 12 14:52 apiserver.crt
-rw-r--r-- 1 root root 1155 Jun 12 14:52 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Jun 12 14:52 apiserver-etcd-client.key
-rw------- 1 root root 1679 Jun 12 14:52 apiserver.key
-rw-r--r-- 1 root root 1164 Jun 12 14:52 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 Jun 12 14:52 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1099 Jun 12 14:52 ca.crt
-rw------- 1 root root 1675 Jun 12 14:52 ca.key
-rw-r--r-- 1 root root   17 Oct 10 18:07 ca.srl
drwxr-xr-x 2 root root 4096 Jun 12 14:52 etcd
-rw-r--r-- 1 root root 1115 Jun 12 14:52 front-proxy-ca.crt
-rw------- 1 root root 1675 Jun 12 14:52 front-proxy-ca.key
-rw-r--r-- 1 root root 1119 Jun 12 14:52 front-proxy-client.crt
-rw------- 1 root root 1679 Jun 12 14:52 front-proxy-client.key
-rw------- 1 root root 1679 Jun 12 14:52 sa.key
-rw------- 1 root root  451 Jun 12 14:52 sa.pub
-rw-r--r-- 1 root root  883 Oct 10 18:27 user1.csr
-rw-r--r-- 1 root root 1679 Oct 10 18:26 user1.key

修改权限
# chmod 600 user1.key

使用集群证书签发

# openssl x509 -req -in user1.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out user1.crt -days 1095

Signature ok
subject=/CN=user1
Getting CA Private Key

查看签发的证书

# openssl x509 -in user1.crt -text -noout

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            fc:aa:fd:55:13:43:c3:62
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Oct 10 10:30:34 2023 GMT
            Not After : Oct  9 10:30:34 2026 GMT
        Subject: CN=user1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d8:c0:f2:4c:35:42:32:97:12:0f:c1:c2:0f:16:
                    ........篇幅省略
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         8d:92:df:d1:53:cf:0c:e6:97:10:cc:53:37:16:01:0c:69:c3:
         ......篇幅省略

1.2创建用户

# kubectl config set-credentials user1 --client-certificate=./user1.crt --client-key=./user1.key --embed-certs=true

User "user1" set.

1.3允许用户登陆

# kubectl config set-context user1@kubernetes --cluster=kubernetes --user=user1

Context "user1@kubernetes" created.

查看集群信息

# kubectl config view

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://master01:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
- context:
    cluster: kubernetes
    user: user1
  name: user1@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED
- name: user1
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED

可以看到user1已经存在并可以登陆

1.4切换用户

# kubectl config use-context user1@kubernetes

Switched to context "user1@kubernetes".

 但此时用户没有任何权限,需要配置rbac

# kubectl get pod

Error from server (Forbidden): pods is forbidden: User "user1" cannot list resource "pods" in API group "" in the namespace "default"

1.5删除用户

# kubectl config delete-context user1@kubernetes

deleted context user1@kubernetes from /root/.kube/config

# kubectl config unset users.user1

Property "users.user1" unset.

2.RBAC

2.1允许user1用户查看pod日志

# cat user1_pod_get.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-log-reader
rules:
- apiGroups: [""]
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]  # 允许 "user1" 用户获取和列出 Pod 以及日志
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-log-reader-binding
  namespace: default
subjects:
- kind: User
  name: user1  # 这里的 "user1" 是您之前创建的用户名称
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-log-reader
  apiGroup: rbac.authorization.k8s.io

再次使用user1用户就可以查看pod和日志了

# kubectl get pod -n default

# kubectl logs -f pod/free-study-questionnaire-5c7f8c878d-859wl

3.使用用户

默认需要切换,但给开发人员或者相关人员时他们是不需要切换的,所以需要配置kubectl

首先需要按照kubectl命令

安装完成后有几种方式配置:

1、拷贝创建当初创建用户的kubectl命令所在服务器下的'$HOME/.kube/config'到新kubectl命令所在服务器的'$HOME/.kube/config',然后删除admin和其他不需要的用户后即可

2、手动编写

需要拷贝ca.crt、user1.crt、user1.key到新kubectl服务器

编写如下文件

apiVersion: v1
clusters:
- cluster:
    certificate-authority: ca.crt
    server: https://master01:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: user1
  name: user1@kubernetes
current-context: user1@kubernetes
kind: Config
preferences: {}
users:
- name: user1
  user:
    client-certificate: user1.crt
    client-key: user1.key

如果将该文件名称定义为 config, 则可以直接使用kubectl命令进行操作

如果改名称为其他,如 user1.yaml,则使用命令需要指定文件

kubectl --kubeconfig=$HOME/.kube/user1.yaml get pods

当然你可以有多个yaml,放在任何目录下,就可以操作多个环境

如何使用 Kubectl 查看 Kubernetes Pod 日志
学海无涯苦作舟的博客
12-24 5402
查看 Pod 日志通常是诊断集群工作负载问题的第一步。以下是如何使用 Kubectl将日志实时流式传输到您的终端,让您检查应用程序的输出。 入门 确保您已安装 Kubectl 并连接到您的集群。您可以通过KUBECONFIG在 shell 中设置环境变量来指定 Kubeconfig 文件: export KUBECONFIG=~/.kube/my-cluster.yaml 然后使用 Kubectl 列出您的 Pod: kubectl get pods –namespace当您的 Pod 位于默认命名空.
Kubernetes面试整理-如何收集和管理Pod日志
不务正业的猿
06-29 352
Kubernetes 中,收集和管理 Pod 日志是确保应用程序健康运行和进行故障排除的重要步骤。通过这些工具和方法,您可以高效地收集和管理 Kubernetes 集群中的 Pod 日志,确保应用程序的健康运行和快速故障排除。EFK 堆栈(Elasticsearch、Fluentd 和 Kibana)是一个常用的日志收集和管理解决方案。kubectl logs 命令是最简单的查看 Pod 日志的方法。Loki 是一个水平可扩展的多租户日志聚合系统,类似于 Prometheus,但用于日志
Rancher中创建只有访问项目权限的用户
草莓甜甜圈的博客
10-12 2098
背景:防止开发人员误操作,导致修改rancher中k8s的配置造成生产事故,开发日常操作只需要查看容器日志,所以只给他们访问项目的权限,不给修改创建等操作的权限。 在rancherUI中,在全局下选择“用户”标签,点击“添加用户”。 在项目集群中,选择“成员”标签,点击“添加成员”。这里只需给予查看节点和项目的权限。 创建成功: 测试一下:增删pod副本的请求被拒绝。 ...
k8s-常用命令
jll126的博客
11-30 3029
k8s 常用命令,补充中
Kubernetes实战】(十二)Pod 控制器 Deployment相关命令
03-25 1378
对于kubernetes来说Pod是资源调度最小单元,kubernetes主要的功能就是管理多个PodPod中可以包含一个或多个容器,而kubernetes是如可管理多个Pod的呢?对,没错,就是通过控制器,比如Deployment和ReplicaSet(rs)。kubernetes下有多个Deployment,Deployment下管理RepliceSet,通过RepliceSet管理多个Pod,通过Pod管理容器
查询k8s中deployment中的所有
zzy287dy的专栏
05-18 1058
pod有几十个,那查找对应的pod有些麻烦,简单的方法是用grep,这种方式不优雅,本文解决用k8s自带的命令查找的方法。
教你如何查看Pod崩溃前的日志
因上努力,果上随缘。但行好事,莫问前程。
10-19 632
pod处于crash状态的时候,容器不断重启,此时用kubelet logs可能出现一直捕捉不到日志
kubernetes Pod 入门
zheshijiuyue的博客
08-21 874
掌握Kubernetes Pod基本概念;Pod的状态;Pod探针;静态Pod
kubernetes Pod、Service详细操作(四)
小趴菜不能喝的博客
07-18 1085
每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类用户程序所在的容器,数量可多可少Pause容器,这是每个Pod都会有的一个根容器容器的作用可以以它为依据,评估整个Pod的健康状态可以在根容器上设置IP地址,其它容器都以此(Pod IP),以实现Pod内部的网路通信apiVersion: v1 #必选,版本号,例如v1kind: Pod   #必选,资源类型,例如 Podmetadata:   #必选,元数据name: string #必选,Pod名称。
10 kubernetes 日志收集流程简介、pod日志收集的几种方式
渐行渐远的博客
02-15 3742
一 elk以及kafka集群 环境准备 1.1 日志收集流程 1.2 elk集群准备 1.2.1 es集群环境准备 es版本为7.12https://www.elastic.co/cn/downloads/http://www.pingtaimeng.com/article/detail/id/2151994 7.12安装 1.2.1.1 准备java环境 yum install -y j...
Kubernetes实战(二十四)-Pod log查询和存储实战
sre救赎之路
02-02 1206
Pod日志容器内产生的日志数据,其存储在/var/log/containers/*.log中,kubectl logd pod_name所输出的日志就是/var/log/containers/*.log中指定pod日志
K8s 如何查看 Pod 崩溃前的日志
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
07-18 390
原文链接:https://blog.youkuaiyun.com/qq_43684922/article/details/128881716场景当pod处于crash状态的时候,容器不断重启,此时用 kubelet logs 可能出现一直捕捉不到日志。解决方法:kubectl previous 参数作用:If true, print the logs for the previous instance of...
Rancher是如何实现查看Pod日志
唐僧爱程序
08-06 8020
Rancher由多个组件组成 rkt: Rancher用于安装k8s的工具 ui: Rancher web ui的后台,nodejs编写 更多组件的详细列表见: https://github.com/rancher/rancher/blob/master/vendor.conf Rancher通过websocket与容器日志建立连接 我们可以通过Rancher web ui查看容器日志,按F12得到websocket的连接地址、路径和参数,如图 分析Rancher ui的源码,并通过路由router
kubernetes 查看pod容器日志
xwnxwn的专栏
12-22 7550
1.pod若处于运行状态,则通过kubectl logs 即可 [root@node-1 ~]# kubectl logs pod_name-c container_name-n Name_Space kubectl logs -f <pod_name> #类似tail -f的方式查看(tail -f 实时查看日志文件log) 2.若pod处于init状态,则需要通过docker ps查看 2.1获取对应的pod name [root@node-1 ~]# kube...
Kubernetes详解(五十)——Kubernetes权限配置
永远是少年
05-09 2031
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。
查看 Kubernetes 集群中Pod 日志的常用方法
SuperSOSUP的博客
09-29 2367
查看 Kubernetes 集群中某个容器 Pod日志可以使用 kubectl logs 命令、kubectl describe 命令、kubectl exec 命令等多种方式。根据具体需求选择合适的方法。
怎么使用rancher 查项目的logging
March_A的博客
04-14 3286
1 进入rancher 页面。2 左上角 -->
K8S操作与认识
灵魂在求知中净化。。。
10-10 638
一、kubernetes服务账号的删除 ### 创建service account并绑定默认cluster-admin管理员集群角色 ## 创建用户 kubectl create serviceaccount dashboard-admin -n kube-system ### 查看用户 kubectl get serviceaccounts kubectl get serviceaccounts -n rook ### 查看指定命名空间 ### 删除默认命名空间账号:default kubectl de
Kubernetes 获取pod当天日志
最新发布
03-22
### 获取 KubernetesPod 当天运行日志的方法 在 Kubernetes 中,可以通过 `kubectl logs` 命令获取指定 Pod日志信息。为了实现每天定时获取 Pod 日志并保存到本地的功能,可以编写一个脚本来完成此操作[^3]。 以下是具体实现方式: #### 脚本逻辑说明 1. 使用 `kubectl get pods` 列出当前命名空间下的所有 Pods。 2. 对于每个 Pod,调用 `kubectl logs` 获取其当天的日志。 3. 将日志按日期存储到本地文件中。 4. 清理超过七天的历史日志文件以节省磁盘空间。 #### 实现代码示例 以下是一个基于 Bash 编写的脚本,用于每日定时获取 Pod 日志并清理过期数据: ```bash #!/bin/bash # 定义变量 LOG_DIR="/path/to/log/directory" DATE=$(date +"%Y-%m-%d") NAMESPACE="your-namespace" # 创建日志目录(如果不存在) mkdir -p $LOG_DIR/$DATE # 获取命名空间内的所有Pods PODS=$(kubectl get pods -n $NAMESPACE -o jsonpath='{.items[*].metadata.name}') # 遍历每个Pod,获取日志并保存 for POD in $PODS; do echo "Fetching logs for pod: $POD" kubectl logs $POD -n $NAMESPACE > "$LOG_DIR/$DATE/${POD}.log" 2>/dev/null done echo "Logs saved to directory: $LOG_DIR/$DATE" # 删除7天前的日志 find $LOG_DIR -type d -mtime +7 -exec rm -rf {} \; ``` 上述脚本会在 `/path/to/log/directory/` 下创建子目录来存储不同日期的日志,并自动删除超过七天的旧日志记录。 #### 注意事项 - 确保已安装并配置好 `kubectl` 工具,并具有访问目标集群的权限。 - 替换 `$LOG_DIR` 和 `$NAMESPACE` 变量的实际路径与命名空间名称。 - 如果某些 Pod 存在多个容器,则需通过 `-c container-name` 参数进一步指定容器名。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值