非root用户管理k8s和docker容器

最新推荐文章于 2024-12-19 09:37:24 发布
最新推荐文章于 2024-12-19 09:37:24 发布
阅读量2.4k 收藏 15
点赞数 3
分类专栏: # Docker # Kubernetes 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zfw_666666/article/details/125085795
版权

一、非root用户管理k8s集群

1.1 创建一个普通用户

useradd ops

1.2 修改集群配置

OPS机器关联kubectl进行如下操作:

root用户执行:

mkdir -p /home/ops/.kube/
cp ~/.kube/config  /home/ops/.kube/
chown deployer:deployer /home/ops/.kube
chown deployer:deployer /home/ops/.kube/config

ops用户执行:

echo  "export KUBECONFIG=/home/ops/.kube/config" >> ~/.bash_profile
echo "source <(kubectl completion bash)" >> /home/ops/.bashrc
source  ~/.bash_profile

1.3 验证

[root@k8s-master1 ~]# su ops
[ops@k8s-master1 root]$ kubectl get node
NAME          STATUS   ROLES                  AGE   VERSION
k8s-master1   Ready    control-plane,master   42d   v1.22.0
k8s-master2   Ready    control-plane,master   42d   v1.22.0
k8s-master3   Ready    control-plane,master   42d   v1.22.0
k8s-node1     Ready    <none>                 42d   v1.22.0
k8s-node2     Ready    <none>                 42d   v1.22.0
k8s-node3     Ready    <none>                 42d   v1.22.0
[ops@k8s-master1 root]$ kubectl get ns
NAME              STATUS   AGE
default           Active   42d
kube-node-lease   Active   42d
kube-public       Active   42d
kube-system       Active   42d
monitoring        Active   42d

此时已经可以使用ops用户来管理k8s集群(若需要针对ops用户指定ns以及资源对象拥有特定权限,可以使用RBAC来限制)

二、非root用户管理docker

由于docker软件安装好之后,自动会创建好docker用户组,所以这里只需要创建好管理docer容器的用户就好。

[root@k8s-master1 ~]# cat /etc/group
....................
docker:x:995:

首先来看一下正常的普通用户管理docker是什么样的

切换dev用户执行docker命令,报错如下:

[root@k8s-master1 ~]# su dev
[dev@k8s-master1 root]$ docker ps
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/json": dial unix /var/run/docker.sock: connect: permission denied
[dev@k8s-master1 root]$ docker images
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get "http://%2Fvar%2Frun%2Fdocker.sock/v1.24/images/json": dial unix /var/run/docker.sock: connect: permission denied

现在我们把ops用户加入docker用户组中

usermod -g docker ops

接下来切换ops用户来查看一下效果:

[root@k8s-master1 ~]# su ops
[ops@k8s-master1 root]$ docker version
Client: Docker Engine - Community
 Version:           20.10.12
 API version:       1.39
 Go version:        go1.16.12
 Git commit:        e91ed57
 Built:             Mon Dec 13 11:45:41 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          18.09.9
  API version:      1.39 (minimum version 1.12)
  Go version:       go1.11.13
  Git commit:       039a7df
  Built:            Wed Sep  4 16:22:32 2019
  OS/Arch:          linux/amd64
  Experimental:     false
[ops@k8s-master1 root]$ docker images
REPOSITORY                                                        TAG       IMAGE ID       CREATED         SIZE
rancher/mirrored-flannelcni-flannel                               v0.17.0   9247abf08677   3 months ago    59.8MB
rancher/mirrored-flannelcni-flannel                               v0.16.3   8cb5de74f107   4 months ago    59.7MB
rancher/mirrored-flannelcni-flannel-cni-plugin                    v1.0.1    ac40ce625740   4 months ago    8.1MB
quay.io/prometheus/node-exporter                                  v1.3.1    1dbe0e931976   5 months ago    20.9MB
registry.aliyuncs.com/google_containers/kube-apiserver            v1.22.0   838d692cbe28   10 months ago   128MB
registry.aliyuncs.com/google_containers/kube-controller-manager   v1.22.0   5344f96781f4   10 months ago   122MB
registry.aliyuncs.com/google_containers/kube-scheduler            v1.22.0   3db3d153007f   10 months ago   52.7MB
registry.aliyuncs.com/google_containers/kube-proxy                v1.22.0   bbad1636b30d   10 months ago   104MB
registry.aliyuncs.com/google_containers/etcd                      3.5.0-0   004811815584   11 months ago   295MB
registry.aliyuncs.com/google_containers/coredns                   v1.8.4    8d147537fb7d   12 months ago   47.6MB
registry.aliyuncs.com/google_containers/pause                     3.5       ed210e3e4a5b   14 months ago   683kB
[ops@k8s-master1 root]$

至此就完成了非root用户管理docker容器了

K8s安全管理
weixin_54720351的博客
04-06 684
k8s 安全管理
docker容器技术、k8s的原理常见命令、用k8s部署应用步骤
qq_41358574的博客
07-04 1657
容器借鉴了集装箱的概念,集装箱解决了什么问题呢?无论形状各异的货物,都可以装入集装箱,集装箱与集装箱之间不会互相影响。由于集装箱是标准化的,就可以把集装箱整齐摆放起来,装在一艘大船把他们都运走。有了集装箱,就再也不需要为各种货物单独准备专门运输的船了。如果把容器比作集装箱的话,应用就相当于集装箱里的货物。容器(Container):一种轻量级的虚拟化技术,这种技术允许操作系统上的用户空间被分割成几个独立的单元在内核中运行,彼此互不干扰。这样一个独立的空间,就称之为一个“容器”。
root用户如何使用kubectl管理kubernetes集群
专注技术
10-03 5809
使用root用户操作kubectl较为危险,所以一般会使用root用户。这里使用k8s用户举例 首先让root用户可操作docker。 useradd k8s -g docker passwd k8s 回到root用户重启docker服务 systemctl restart docker 这样就建立了一个k8s用户可操作docker 然后拷贝master节点的/etc/kuberne...
如何用root账号安装k8s集群
jiangbb8686的博客
07-29 1716
使用kubeadmkubespray: 如果你想要在多节点环境下安装Kubernetes集群,可以使用kubeadmkubespray组合。在大多数情况下,为了安装 KubernetesK8s)集群,需要具有root权限或者以root身份执行某些操作,例如安装软件包配置系统级别的设置。在生产环境中,为了避免潜在的权限问题,建议寻求管理员的帮助来安装Kubernetes集群。使用Minikube: Minikube是一个用于在本地机器上运行单节点Kubernetes集群的工具,它不需要root权限。
k8s(RBAC)用户管理
weixin_41650708的博客
10-26 397
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。在k8s中,service account(简称sa)是给集群中的进程使用的,当集群中的pod或进程需要跟apiserver申请调用资源时会使用到sa前面说的service account在k8s集群中是给pod使用的,这里介绍的User Account,是给我们自己,也就是给客户端用的。
K8S用户管理体系介绍
singless的博客
08-17 1607
k8s中,有两类用户,service accountuser,我们可以通过创建role或clusterrole,再将账户role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s管理人员使用的账户,也就是我们使用的账户。
Kubernetes运维篇】RBAC之创建集群用户管理K8S
秦子腾
07-15 6388
用户加入集群用户中,用来认证apiserver的连接。用户加入集群用户中,用来认证apiserver的连接。系统用户提交给新来的运维同事等,让新来的同事只有在。的权限,因为是查看所有命名空间Pod,所以这里使用。第九步:切换lisi用户测试权限。可以切换后,先切换回来管理用户。第九步:在Linux中添加一个。可以切换后,先切换回来管理用户。第十步:在Linux中添加一个。第二步:生成一个证书请求。第二步:生成一个证书请求。用户,默认没有任何权限。用户,默认没有任何权限。用户,测试是否有权限。
k8s dockers 部署 k8s运行docker
zhaozuoyou的博客
10-22 1832
注意这边的–pod-network-cidr=10.244.0.0/16,是k8的网络插件所需要用到的配置信息,用来给node分配子网段,用到的网络插件是flannel,就是这么配,其他的插件也有相应的配法。我们kubernetes初始化语句可以看出,我用到的是flannel,其实还有其他的网络插件,比如Calico网络,但是我一直配不好,对应的pod总是显示失败状态。我们的思路是,先从国内阿里云拉取镜像,然后再修改名字,改为谷歌容器镜像仓库名字相同的镜像。这时当然了,以为我们还没把计算节点加进来。
Docker&amp;K8s---Docker的安装、部署、镜像管理容器操作、Dockerfile_izusz
2401_87198472的博客
09-18 1638
docker pull docker.io/library/alpine:3.10.1 完整路径,其他仓库不可省,只有dockerhub可省。镜像结构: registry_name/repository_name/image_name:tag_name。例如:docker.io/library/alpine:3.10.1。docker pull alpine:3.10.1 下载指定tag。登录: docker login docker.io。Docker典型的C/S架构引擎。查看容器信息启动是否正常。
dockerk8s基础介绍
swimming_in_IT_的博客
04-24 4629
通常称为K8sK8s是将8个字母“ubernete”替换为“8”的缩写)是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力,包括多层次的安全防护准入机制/多租户应用支撑能力、透明的服务注册服务发现机制、内建智能负载均衡器、强大的故障发现自我修复功能、服务滚动升级在线扩容能力、可扩展的资源自动调度机制,以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具,这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节;
usernetes:可在$ HOME下安装的Kubernetes,没有root特权
02-02
usernetes:可在$ HOME下安装的Kubernetes,没有root特权
使用K8s管理有状态服务
08-15
普元云计算架构师宋潇男,分享了Kubernetes中支持有状态服务的相关特性普元MySQL集群服务的相关案例。
dockerk8s
qq_56650001的博客
12-19 2368
它利用强大的容器编排能力,可以调度管理多种容器,包括Docker容器‌ ,确保应用的高可用性可扩展性。该命令就是找/etc/fstab文件中所有包含"swap"的行,并在这些行的开头添加"#"符号,从而将这些行注释掉,阻止系统在启动时自动挂载swap分区。$ (id -u):这是一个命令替换,id -u 返回当前用户的ID,这里用它来获取当前用户的UID,并将其作为chown命令的参数,指定文件的新所有者。这里用它来获取当前用户的GID,并将其作为chown命令的参数,指定文件的新所属组。
使用 Kubernetes 运行 non-root .NET 容器
dotNET跨平台
04-23 557
点击上方蓝字关注我们(本文阅读时间:10分钟)翻译自 Richard Lander 的博客Rootless或 non-root Linux 容器一直是 .NET 容器团队最需要的功能。我们最近宣布了所有 .NET 8 容器镜像都可以通过一行代码配置为 non-root 用户。今天的文章将介绍如何使用 Kubernetes 处理 non-root 托管。您可以尝试使用我们的 non-root Ku...
一文带你认识Kubernetes中的容器:non-root containers
qq_40404477的博客
04-02 924
容器指的是不以root权限运行的容器,它可以更严格的限制程序运行权限,保障程序运行安全。
K8s管理
qq_42747099的博客
04-15 477
节点管理 删除节点 #设置node-1节点不参与pod的调度 [root@master ~]# kubectl cordon node-1 node/node-1 cordoned [root@master ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION master...
配置普通linux平台用户访问k8s集群
xhredeem的博客
01-28 1320
配置普通linux用户访问k8s集群
k8sroot用户报错:error loading config file “/etc/kubernetes/admin.conf“: open /etc/kubernetes/admin.conf
qq_41904451的博客
04-05 3701
这样可以避免使用默认的 "/etc/kubernetes/admin.conf" 文件,而是使用指定的 kubeconfig 文件,该文件可以在root用户下具有足够的权限访问。这个错误是由于当前root用户没有足够的权限来读取 "/etc/kubernetes/admin.conf" 配置文件导致的。2.修改文件权限:如果不希望每次都使用 sudo 命令,可以考虑修改 "/etc/kubernetes/admin.conf" 文件的权限,使当前用户有足够的权限读取。chatgpt回答的……
一份超实用的 Docker 容器 root 启动实战教程
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
12-19 450
本文总结了业务容器 root 启动改造实战经验,强调了 root 启动的重要性一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改构建过程,以满足 root 启动要求,特别提到了 CoreDNS Consul 镜像的处理方式。由来客户安全要求业务容器改为 root 启动,很多容...
k8sdocker compose
最新发布
06-06
### Kubernetes Docker Compose 的使用场景功能对比 Kubernetes Docker Compose 是两种广泛使用的容器编排工具,但它们的设计目标适用场景存在显著差异。以下是两者的详细对比: #### 1. 功能范围 Docker Compose 主要用于单节点环境中的服务编排,适合开发测试阶段的小型项目。它通过 `docker-compose.yml` 文件定义多个容器之间的依赖关系、网络配置以及存储卷设置[^4]。例如: ```yaml version: '3' services: web: image: nginx ports: - "80:80" db: image: mysql environment: MYSQL_ROOT_PASSWORD: example ``` 上述代码展示了如何使用 Docker Compose 配置一个简单的 Web 应用程序数据库服务。 相比之下,Kubernetes 是一个多节点集群管理平台,支持大规模分布式系统的部署管理。它提供了更高级的功能,如自动扩展、负载均衡、健康检查服务发现等[^4]。Kubernetes 的配置文件通常更为复杂,需要定义 Pod、Deployment、Service 等资源对象。例如: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80 ``` #### 2. 使用场景 Docker Compose 更适合以下场景: - 开发环境中的快速原型设计。 - 小型项目或单机运行的应用程序。 - 不需要复杂的高可用性扩展性的简单服务组合[^4]。 Kubernetes 则适用于以下场景: - 大规模生产环境下的分布式系统。 - 需要跨多台物理机或虚拟机的高可用性部署。 - 自动化扩展故障恢复的需求[^4]。 #### 3. 易用性与学习曲线 Docker Compose 的学习曲线较低,配置文件简单直观,易于上手。而 Kubernetes 的功能更为强大,但也因此增加了复杂性,用户需要掌握更多的概念术语,如 Pod、Node、Cluster 等[^5]。 #### 4. 集成能力 虽然 Docker Compose Kubernetes 的功能定位不同,但它们可以协同工作。例如,可以通过工具将 Docker Compose 文件转换为 Kubernetes 资源定义文件,从而在 Kubernetes 集群中运行原本由 Docker Compose 定义的服务。 ### 示例:从 Docker Compose 到 Kubernetes 假设有一个基于 Docker Compose 的应用,包含 Web 数据库服务。可以使用工具(如 Kompose)将其转换为 Kubernetes 配置文件: ```bash kompose convert -f docker-compose.yml ``` 这将生成一系列 Kubernetes YAML 文件,包括 Deployment Service 定义。 --- ####
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值