严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件

最新推荐文章于 2025-04-28 16:58:04 发布
最新推荐文章于 2025-04-28 16:58:04 发布
阅读量865 收藏 13
点赞数 18
分类专栏: # kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50902636/article/details/146207251
版权

文章目录

前言

使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。

一、背景

生产环境已存在一套k8s集群,你是集群的管理员,你的同事目前想操作集群中test命名空间下的资源,然后跟你要管理员权限进入集群,你说你能给嘛?当然不行啦,那你作为管理员怎么办呢?那就是给他结合集群中的RBAC权限控制机制,创建一个新的config文件且只能操作test空间下的资源

二、证书和证书签名请求(了解)

Kubernetes 证书和信任包(trust bundle)API 可以通过为 Kubernetes API 的客户端提供编程接口, 实现 X.509 凭据的自动化制备, 从而请求并获取证书颁发机构(CA)发布的 X.509 证书。

1.证书签名请求

CertificateSigningRequest (CSR)资源用来向指定的签名者申请证书签名, 在最终签名之前,申请可能被批准,也可能被拒绝

2.请求签名流程

1、CertificateSigningRequest 资源类型允许客户端基于签名请求申请发放 X.509 证书。 
	CertificateSigningRequest 对象在 spec.request 字段中包含一个 PEM 编码的 PKCS 签名请求。 
	CertificateSigningRequest 使用 spec.signerName 字段标示签名者(请求的接收方)。 
		注意:
			1、spec.signerName 在 certificates.k8s.io/v1 之后的 API 版本是必填项。
			2、在 Kubernetes v1.22 和以后的版本,客户可以设置 spec.expirationSeconds 字段(可选)来为颁发的证书设定一个特定的有效期。
				该字段的最小有效值是 600,也就是 10 分钟。

2、创建完成的 CertificateSigningRequest,要先通过批准,然后才能签名。
	 根据所选的签名者,CertificateSigningRequest 可能会被控制器自动批准。 否则,就必须人工批准, 
	 人工批准可以使用 REST API(或 client-go),也可以执行 kubectl certificate approve 命令。 
	 同样,CertificateSigningRequest 也可能被驳回, 这就相当于通知了指定的签名者,这个证书不能签名。

3、对于已批准的证书,下一步是签名。 对应的签名控制器首先验证签名条件是否满足,然后才创建证书。 
	签名控制器然后更新 CertificateSigningRequest, 将新证书保存到现有 CertificateSigningRequest 对象的 status.certificate 字段中。 
	此时,字段 status.certificate 要么为空,要么包含一个用 PEM 编码的 X.509 证书。 
	直到签名完成前,CertificateSigningRequest 的字段 status.certificate 都为空。

4、一旦 status.certificate 字段完成填充,请求既算完成, 
客户端现在可以从 CertificateSigningRequest 资源中获取已签名的证书的 PEM 数据。 当然如果不满足签名条件,签名者可以拒签。

注意:
	为了减少集群中遗留的过时的 CertificateSigningRequest 资源的数量, 一个垃圾收集控制器将会周期性地运行。 
	此垃圾收集器会清除在一段时间内没有改变过状态的 CertificateSigningRequest:
		已批准的请求: 1 小时后自动删除
		已拒绝的请求: 1 小时后自动删除
		已失败的请求: 1 小时后自动删除
		挂起的请求: 24 小时后自动删除
		所有请求: 在颁发的证书过期后自动删除

3.Kubernetes 签名者

相关知识如下

Kubernetes 提供了内置的签名者,每个签名者都有一个众所周知的 signerName:

kubernetes.io/kube-apiserver-client:签名的证书将被 API 服务器视为客户端证书, kube-controller-manager 不会自动批准它。
1、信任分发:签名的证书将被 API 服务器视为客户端证书,CA 证书包不通过任何其他方式分发。
2、许可的主体:没有主体限制,但审核人和签名者可以选择不批准或不签署。 某些主体,比如集群管理员级别的用户或组因部署和安装方式不同而不同, 所以批准和签署之前需要进行额外仔细审查。 用来限制 system:masters 的 CertificateSubjectRestriction 准入插件默认处于启用状态, 但它通常不是集群中唯一的集群管理员主体。
3、许可的 x509 扩展:允许 subjectAltName 和 key usage 扩展,弃用其他扩展。
4、许可的密钥用途:必须包含 [“client auth”],但不能包含 [“digital signature”, “key encipherment”, “client auth”] 之外的键。
5、过期时间/证书有效期:对于 kube-controller-manager 实现的签名者, 设置为 --cluster-signing-duration 选项和 CSR 对象的 spec.expirationSeconds 字段(如有设置该字段)中的最小值。
6、允许/不允许 CA 位:不允许。

kubernetes.io/kube-apiserver-client-kubelet:签名的证书将被 kube-apiserver 视为客户端证书。 kube-controller-manager 可以自动批准它。
1、信任分发:签名的证书将被 API 服务器视为客户端证书,CA 证书包不通过任何其他方式分发。
2、许可的主体:组织名必须是 [“system:nodes”],通用名称为 “system:node:${NODE_NAME}” 开头
3、许可的 x509 扩展:允许 key usage 扩展,禁用 subjectAltName 扩展,并删除其他扩展。
4、许可的密钥用途:[“key encipherment”, “digital signature”, “client auth”] 或 [“digital signature”, “client auth”]。
5、过期时间/证书有效期:对于 kube-controller-manager 实现的签名者, 设置为 --cluster-signing-duration 选项和 CSR 对象的 spec.expirationSeconds 字段(如有设置该字段)中的最小值。
6、允许/不允许 CA 位:不允许。

kubernetes.io/kubelet-serving:签名服务端证书,该服务证书被 API 服务器视为有效的 kubelet 服务端证书, 但没有其他保证。kube-controller-manager 不会自动批准它。
1、信任分发:签名的证书必须被 kube-apiserver 认可,可有效的中止 kubelet 连接,CA 证书包不通过任何其他方式分发。
2、许可的主体:组织名必须是 [“system:nodes”],通用名称为 “system:node:${NODE_NAME}” 开头
3、许可的 x509 扩展:允许 key usage、DNSName/IPAddress subjectAltName 等扩展, 禁止 EmailAddress、URI subjectAltName 等扩展,并丢弃其他扩展。 至少有一个 DNS 或 IP 的 SubjectAltName 存在。
4、许可的密钥用途:[“key encipherment”, “digital signature”, “server auth”] 或 [“digital signature”, “server auth”]。
5、过期时间/证书有效期:对于 kube-controller-manager 实现的签名者, 设置为 --cluster-signing-duration 选项和 CSR 对象的 spec.expirationSeconds 字段(如有设置该字段)中的最小值。
6、允许/不允许 CA 位:不允许。

kubernetes.io/legacy-unknown:不保证信任。Kubernetes 的一些第三方发行版可能会使用它签署的客户端证书。 稳定版的 CertificateSigningRequest API(certificates.k8s.io/v1 以及之后的版本)不允许将 signerName 设置为 kubernetes.io/legacy-unknown。 kube-controller-manager 不会自动批准这类请求。
1、信任分发:没有。这个签名者在 Kubernetes 集群中没有标准的信任或分发。
2、许可的主体:全部。
3、许可的 x509 扩展:允许 subjectAltName 和 key usage 等扩展,并弃用其他扩展。
4、许可的密钥用途:全部。
5、过期时间/证书有效期:对于 kube-controller-manager 实现的签名者, 设置为 --cluster-signing-duration 选项和 CSR 对象的 spec.expirationSeconds 字段(如有设置该字段)中的最小值。
6、允许/不允许 CA 位 - 不允许。

kube-controller-manager 为每个内置签名者实现了控制平面签名。 注意:所有这些故障仅在 kube-controller-manager 日志中报告。

4.证书过期时间限制字段

要使用expirationSeconds 字段前提是k8s版本是1.22+

签名请求格式并没有一种标准的方法去设置证书的过期时间或者生命期, 
因此,证书的过期时间或者生命期必须通过 CSR 对象的 spec.expirationSeconds 字段来设置。 

当 spec.expirationSeconds 没有被指定时,
内置的签名者默认使用 ClusterSigningDuration 配置选项 (kube-controller-manager 的命令行选项 --cluster-signing-duration),
该选项的默认值设为 1 年。 当 spec.expirationSeconds 被指定时,
spec.expirationSeconds 和 ClusterSigningDuration 中的最小值会被使用

二、脚本示例

脚本作用: 用户只能针对某个命

最低0.47元/天 解锁文章
二进制部署的k8s集群,手动生成kubeconfig的配置文件
qq_34953582的博客
06-20 1238
二进制部署的k8s集群,手动生成kubeconfig的配置文件
云原生kubernetes实战】在k8s环境下部署go-file文件分享工具
jks212454的博客
07-22 2158
云原生kubernetes实战】在k8s环境下部署go-file文件分享工具
K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
运维、实施交付领域知识交流
08-07 1559
Kubernetes 专题 - 生成特定 Kubeconfig 文件
k8skubeconfig详解
最新发布
woshihlf的博客
04-28 1222
kubeconfigKubernetes 客户端(如。:在 Shell 提示符显示当前上下文。
k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1154
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2539
k8s如何生成一个完整的kubeconfig文件
k8s 集群用户生成 kubeconfig 文件
小新没有蜡笔
10-11 1019
k8s 集群的 RBAC 里有用到用户、组的概念,但是它又不直接管理这些资源,而是通过外部身份验证机制(Authentication Mechanisms)来管理和定义的,比如证书进行签名时,将其配置为 Subject: O = system:masters, CN = kubernetes-admin。O 代表用户组,CN 是用户,这些都是通过签署证书管理的。但是新版本可以直接通过命令去创建,我用的是 1.31。
基于 kubeconfig 认证的 k8s 用户账号创建案列
JiaWen的博客
07-12 1092
Kubernetes 集群中创建用户账号时,通常会使用 kubeconfig 文件来进行认证和授权,其中 CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制......
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S集群管理中,为了实现安全的多租户环境和权限制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
部署k8s集群及KubeEdge实战(超详细,整理官方文档及个人见解,附带各种实战中遇到的问题)
A15280019132的博客
08-13 5439
待更新,半年之前写的,后来忙于比赛暂时搁置
K8s手工创建kubeconfig
小单的博客专栏
02-14 2210
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
【多用户k8s用户配置 kubeconfig
叮当猫的喵i
09-29 1479
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
K8s权限管理
a13568hki的博客
04-29 4302
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问制(RBAC)是一种基于企业中用户的角色来调节制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
k8s权限管理
叶青
01-15 1313
k8s的资源访问制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看。
如何手动创建 k8s kubeconfig 文件以实现多环境切换
热门推荐
qianggezhishen的专栏
05-24 2万+
这篇文件简单介绍一下集群环境中如何配置kubectl,以及如何制作 kubeconfig 文件,以使用 kubectl config 来实现切换多种k8s环境,官方有相应的文档,这里简要介绍一下如何手动生成这个 config 文件。 1、集群环境中如何配置kubectl (有集群登录权限) 要实现 kubectl get no 这种以很少命令参数的方式获取到 k8s 集群信息,下面介绍一种...
K8s 身份认证和权限
go|Python的个人博客
05-17 892
服务账号与用户账号不同,用户账号是集群中通过了身份认证的人类用户。Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。
k8s学习: kubeconfig文件详解
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
k8skubeconfig的配置以及使用详解
墨鸦的博客
08-03 9880
k8skubeconfig的配置以及使用详解
k8s-身份认证与权限
咕噜咕噜wy的博客
04-26 1254
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。
k8s集群的RBAC如何创建角色集群
01-11
### 如何在 Kubernetes 集群中使用 RBAC 创建角色实现权限管理 #### 定义角色和绑定关系 为了实现在 Kubernetes 中基于角色的访问制 (RBAC),需要定义两个主要对象:`Role` 或 `ClusterRole` 和相应的 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值