创建对K8s资源对象仅有只读权限的Linux系统用户

最新推荐文章于 2024-05-27 22:07:57 发布
最新推荐文章于 2024-05-27 22:07:57 发布
阅读量760 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes运维 文章标签: kubernetes linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40930677/article/details/114378115

一. 基础知识:

  1. K8s默认采用RBAC鉴权方式,包含4个顶级资源对象,Role/ClusterRole/RoleBinding/ClusterRoleBinding
  2. Role/ClusterRole:角色和集群角色,角色/集群角色 = 一组对K8s资源对象操作权限的集合(如get pod,delete deployment等操作均需要权限)
  3. RoleBinding/ClusterRoleBinding:角色绑定和集群角色绑定,通过这两种资源对象,可以将Role/ClusterRole与集群中对象进行绑定,包括User/Group/Service Account
  4. 上述集群中对象User/Group/service Account与宿主机无直接关系,如此处User为k8s集群内用户,而/etc/passwd中的为Linux系统用户
  5. 通过kubeconfig可以将系统用户和K8s集群用户关联,如:
[root@test ~]# kubectl --kubeconfig=readonly.conf get pods
(执行该命令需要先切换kubeconfig中当前的上下文,配置过程中会详细说明)
# root用户执行kubectl并指定kubeconfig配置文件,该文件中保存有名为readonly的K8s集群用户的证书信息和秘钥信息,
# 这样root用户就可使用K8s集群中readonly用户具有的相应权限来对集群资源对象进行操作,
# 而readonly用户具有的权限是通过RoleBinding/ClusterRoleBinding将K8s集群用户readonly与Role/ClusterRole(一组权限)进行绑定而得到的。

二. 举例说明Linux系统用户、K8s集群User用户、Role/ClusterRole、RoleBinding/ClusterRoleBinding间的关系:

班级中的对应关系:
Linux系统用户:助教小明
K8s集群User用户:职务,如班长、学习委员...
Role/ClusterRole:责任或权利,如收作业,安排值日...
RoleBinding/ClusterRoleBinding:老师安排职务和权利对应关系
ca.pem/ca-key.pem或ca.crt/ca.key(集群CA根证书和CA私钥):班级公章,用于盖章生成集群证明
--kubeconfig指定的文件:印的写有某职务名的肩章,如“三年二班班长”肩章
运维工程师:班主任
  1. 绑定职务及权利(Role/ClusterRole与RoleBinding/ClusterRoleBinding原理)
    三年二班中有很多日常工作要做,如收作业,安排值日,检查着装等;班主任为了便于管理,就设置了几个职务如班长、学习委员,并且规定,班长的权利有:安排值日,检查着装,学习委员的权利有:收作业。老师通过规定(RoleBinding/ClusterRoleBinding)将职务(User)与权利(Role/ClusterRole)进行绑定,这样同学们就知道班长(User)有什么权利能干什么(Role/ClusterRole)。当然,老师同样可以规定,班级中有班长和副班长,但是两人的权利完全相同,即多个User绑定同一个Role/ClusterRole。
  2. 制作肩章过程(生成kubeconfig文件)
    班级通过一致决定(通过集群认证)将每个职位做成肩章,如带有“三年二班班长”字样的班长肩章(–kubeconfig对应的文件),并规定戴上肩章的人才有肩章对应的权利而忘戴则没有。肩章的制作过程首先需要班主任写好带有职务名(写有K8s集群用户readonly的readonly.json文件)和职务有效期等信息(写有过期时间的ca配置文件ca-config-readonly.json)的两个文件,之后班主任使用班级公章(ca根证书和私钥)和写好的两个文件(两个json)通过计算机算法得到用于证明肩章有效的文件(readonly.pem客户端证书,用于K8s的解密认证)和另一个文件(readonly-key.pem客户端私钥,实在编不出来了。。。)。之后将班级公章(ca.pem/ca-key.pem或ca.crt/ca.key:CA根证书和CA私钥)和证明肩章有效的两个文件(readonly.pem/readonly-key.pem:客户端证书和客户端私钥)提交至班级系统里,从而注册班长职务并备注过期时间等信息。学校获取到班长职务信息后,要求班主任提供肩章样式(context上下文),再根据职务名(K8s集群User用户名)和样式制作出肩章(–kubeconfig指定的文件)并返回给班主任
  3. (K8s RBAC权限控制)
    班级中除班主任外还有一些助教,其中助教小明经班主任任命得到了“三年二班班长”肩章,只要他(Linux系统用户)戴着写有“三年二班班长”(K8s集群User用户)字样的肩章(kubectl时指定–kubeconfig),他就对班级中的同学(集群资源对象如pod)有权利检查着装(Role/ClusterRole)。某天助教小明忘戴了班长肩章(未指定–kubeconfig),则班级就不认可(认证失败)他的任何权利。若班主任(运维工程师)将助教小明的工作服上均印有“三年二班班长”字样的班长肩章(将kubeconfig文件cp为/home/xiaoming/.kube/config),则即使小明忘戴,依然有班长的默认权利(–kubeconfig默认路径为/home/$USER/.kube/config)

三. 具体操作:

  1. 安装cfssl和cfssljson工具用于生成证书
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
  1. 使用集群CA自签名证书生成client证书和client私钥
mkdi
最低0.47元/天 解锁文章

200万优质内容无限畅学
kubernetes创建只具有只读权限的账号
qq_37256882的博客
12-20 843
日常运维账号应该是权限最小化的账号,且有时开发需要登陆生产机,避免开发误操作引起故障,也只应给到开发只读权限的账号。本文创建一个只具有只读权限ClusterRole,并重新生成~/.kube/config,将此配置拷贝到日常运维账号or开发账号下,使其只具备只读的操作权限
k8s多集群管理(只读用户
最新发布
因上努力,果上随缘。但行好事,莫问前程。
09-25 423
其他集群重复此操作,这样就可以实现通过一台只读机,切换集群上下文的方式,访问各个k8s集群了。
kubernetes实战篇之创建一个只读权限用户
weixin_30881367的博客
07-03 360
系列目录 上一节我们讲解到了如何限制用户访问dashboard的权限,这节我们讲解一个案例:如何创建一个只读权限用户. 虽然可以根据实际情况灵活创建各种权限用户,但是实际生产环境中往往只需要两个就行了一个是前面创建的拥有集群所有权限用户,另一个是一个拥有只读权限的普通用户.把只读权限分配给开发人员,使得开发人员也可以很清楚地看到自己的项目运行的状况. 在进行本章节之前,大家可以思考一下怎么...
k8s集群创建用户只读权限资源的kubeconfig
weixin_47729423的博客
01-14 2698
用户需要一定的权限获取k8s的一些资源,根据需求需要为用户创建一个只读权限的kubeconfig。 创建只读权限的⽤户,⼤致可以分为以下3个步骤: 根据ca签发⽤户的证书 根据⽤户证书绑定⻆⾊并⽣成kubeconfig⽂件(只读权限模版使⽤的是k8s默认view 的clusterrole,如果需要可以⾃⾏设定⻆⾊role) 将kubeconfig⽂件放⼊⽤户的.kube⽬录下,并测试权限 新建一个name-csr.json文件,内容如下 # 根据ca签发⽤户证书,这⾥选择⽤cfssl,也可以使⽤open
kubernetes创建只读用户
国产-达芬奇
02-26 1297
一、配置文件 1、kubeconfig文件 /root/.kube/config文件内容如下: apiVersion: v1 clusters: - cluster: certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUM1后面的省略了。。。。。 server: https://192.168.1.10:6443 name: kubernetes contexts: - context: ...
dockerk8s基础介绍
swimming_in_IT_的博客
04-24 4654
通常称为K8sK8s是将8个字母“ubernete”替换为“8”的缩写)是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力,包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制,以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具,这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节;
k8s数据持久化
qq_36523282的博客
05-15 368
Volume存储解决k8s数据持久化方案 Container(容器)中的磁盘文件是短暂的,当容器崩溃时,kubelet会重新启动容器,但最初的 文件将丢失,Container会以最干净的状态启动。另外,当一个Pod运行多个Container时,各个 容器可能需要共享一些文件。Kubernetes Volume可以解决这两个问题。 一些需要持久化数据的程序才会用到Volumes,或者一些需要共享数据的容器需要volumes。 Redis-Cluster:nodes.conf 日志收集的需求:需要在应用程序的容
k8s——kubernetes专业术语
m0_47161295的博客
10-07 2143
这里写目录标题一、专业术语 一、专业术语 API Group Kubernetes API 中的一组相关路径。 通过更改 API server 的配置,可以启用或禁用每个 API Group。你还可以禁用或启用指向特定资源的路径。API group 使扩展 Kubernetes API 更加的容易。API group 在 REST 路径和序列化对象的 apiVersion 字段中指定。 cgroup (控制组)一组具有可选资源隔离、审计和限制的 Linux 进程。[-] Cgroup 是一个 Linux
K8s的集群调度
rmh0713的博客
05-27 1275
Scheduler 是 kubernetes 的调度器,主要的任务是把定义的 pod 分配到集群的节点上。其主要考虑的问题如下:①公平:如何保证每个节点都能被分配资源资源高效利用:集群所有资源最大化被使用③效率:调度的性能要好,能够尽快地对大批量的 pod 完成调度工作④灵活:允许用户根据自己的需求控制调度的逻辑。
linux--kubernetes(访问控制)
Aplox的博客
05-03 438
kubernetes API 访问控制 认证(任意一种) -->授权(一般是rbac 和 node)–> 准入控制(自己选择) 认证 Authentication 认证一共有8种,可以启动一种或多种认证方式,只要有一种认证方式通过,就不再对其它方式认证,通常启动X 509 Client Certs 和Service Accout Tokens两种认证方式 k8s集群有两类用户...
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4377
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
配置普通linux平台用户访问k8s集群
xhredeem的博客
01-28 1355
配置普通linux用户访问k8s集群
Kubernetes学习笔记(四):持久化存储与安全认证
hxt的博客
03-12 1247
一、持久化存储 容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,Kubernetes引入了Volume的概念 Volume是Pod中能够被多个容器访问的共享目录,它被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下,Kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命容器不与Pod中单个容器的生命周期相关,当
k8s使用ceph rbd
wenwenxiong的专栏
10-31 4148
环境 节点 k8s角色 ceph 安装组件 192.168.122.120 k8s-master ceph admin mon1 osd0 osd1 osd2 osd9 192.168.122.121 k8s-slave1 ceph mon2 osd3 osd4 osd5 osd10 192.168.122.122 k8s-slave2 ceph mon
K8S集群建立只读权限帐号
weixin_33935777的博客
11-12 824
参考URL: https://www.jianshu.com/p/a1a0d64f1245 https://mritd.me/2018/03/20/use-rbac-to-control-kubectl-permissions/ https://studygolang.com/articles/11730?fr=sidebar   公司的k8s集群里的运维用户是为k8s的运维同事增加的。...
[k8s]pod持久存储的几种方式图解
毛台
09-06 8316
参考: https://kubernetes.io/docs/concepts/storage/volumes/1.emptyDirapiVersion: v1 kind: Pod metadata: name: test-pd spec: containers: - image: gcr.io/google_containers/test-webserver name: tes
关于Docker&kubernetes的一些问题
dyl2530的博客
08-31 8848
本文是我自己在学习docker以及kubernetes的过程中遇到的一些问题,以及同事在听过培训之后一些问题,事后我自己去网上找些资料以及问一些资深大牛,我在此做一个归纳总结,将这些问题的解答做一个分享: 1.     容器内的数据该保存在镜像里还是宿主机中? 一般来说,如果是运行时的动态数据,那么这部分数据文件不应该保存在镜像内。在运行时尽量保持容器基础文件不可变的特性,,而变化部分使用挂载
K8s开启容器文件系统只读功能
sre救赎之路
04-03 897
K8s启动的容器根目录权限可读写,存在安全隐患。
K8s: downward api使用volume挂载时报错 merged/etc/resolv.conf: read-only file system: unknown
amadeus_liu2的博客
12-20 407
k8s
K8S用户账号创建权限配置指南
资源摘要信息:"本文档主要介绍如何在Kubernetes(简称K8S)集群中创建用户账号(User Account),并为这些账号赋予相应的权限。我们将遵循K8S的RBAC(Role-Based Access Control)策略,确保账号的安全性和操作权限...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值