国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S

2年前作者:神奇的海馬體分類:Toy博客閱讀(27)違法舉報

這篇具有很好參考價值的文章主要介紹了【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。


需求:公司新入職兩位運維同事,分別是zhangsan、lisi,剛?cè)肼毧隙ú荒芙oK8S管理員權(quán)限,所以需要創(chuàng)建兩個系統(tǒng)賬號,分別對應(yīng)不同的權(quán)限:
  • zhangsan用戶:對uat名稱空間擁有管理員權(quán)限
  • lisi用戶:對所有命名空間擁有查看Pod的權(quán)限

一、創(chuàng)建zhangsan集群用戶賦予uat名稱空間管理員權(quán)限

第一步:生成一個私鑰

cd /etc/kubernetes/pki/
(umask 077; openssl genrsa -out zhangsan.key 2048)

第二步:生成一個證書請求

openssl req -new -key zhangsan.key -out zhangsan.csr -subj "/CN=zhangsan"

第三步:生產(chǎn)一個證書

openssl x509 -req -in zhangsan.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out zhangsan.crt -days 3650

第四步:將zhangsan用戶加入集群用戶中,用來認(rèn)證apiserver的連接

kubectl config set-credentials zhangsan --client-certificate=./zhangsan.crt --client-key=./zhangsan.key --embed-certs=true

驗證:

kubectl config view

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

第五步:添加zhagnsan用戶上下文

kubectl config set-context zhangsan@kubernetes --cluster=kubernetes --user=zhangsan

驗證:

kubectl config view

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

第六步:切換到zhangsan用戶,默認(rèn)沒有任何權(quán)限

kubectl config use-context zhangsan@kubernetes

可以切換后,先切換回來管理用戶

kubectl config use-context kubernetes-admin@kubernetes

第七步:創(chuàng)建uat名稱空間 綁定zhangsan用戶在uat名稱空間擁有管理員權(quán)限

kubectl create namespace uat
kubectl create rolebinding zhangsan -n uat --clusterrole=cluster-admin --user=zhangsan

第八步:切換zhangsan用戶,測試是否有權(quán)限

kubectl config use-context zhangsan@kubernetes
kubectl get pods -n uat

第九步:在Linux中添加一個zhagnsan系統(tǒng)用戶,并賦予密碼

useradd zhangsan
passwd zhangsan

第十步:將/root/.kube/目錄復(fù)制到zhangsan用戶家目錄,并賦權(quán)

cp -rp /root/.kube /home/zhangsan
chown -R  zhangsan:zhangsan /home/zhangsan

第十一步:切換zhangsan用戶修改/home/zhangsan/.kube/config只保留張三用戶信息

su - zhangsan
vim .kube/config

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

測試使用zhangsan用戶訪問集群

kubectl get pods -n uat

OK,測試沒問題后就可以吧Linux的zhangsan系統(tǒng)用戶提交給新來的運維同事等,讓新來的同事只有在uat命名空間操作的權(quán)限。

二、創(chuàng)建lisi集群用戶賦予查看所有名稱Pod權(quán)限

第一步:生成一個私鑰

cd /etc/kubernetes/pki/
(umask 077; openssl genrsa -out lisi.key 2048)

第二步:生成一個證書請求

openssl req -new -key lisi.key -out lisi.csr -subj "/CN=lisi"

第三步:生產(chǎn)一個證書

openssl x509 -req -in lisi.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out lisi.crt -days 3650

第四步:將lisi用戶加入集群用戶中,用來認(rèn)證apiserver的連接

kubectl config set-credentials lisi --client-certificate=./lisi.crt --client-key=./lisi.key --embed-certs=true

驗證:

kubectl config view

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

第五步:添加lisi用戶上下文

kubectl config set-context lisi@kubernetes --cluster=kubernetes --user=lisi

驗證:

kubectl config view

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

第六步:切換到lisi用戶,默認(rèn)沒有任何權(quán)限

kubectl config use-context lisi@kubernetes

可以切換后,先切換回來管理用戶

kubectl config use-context kubernetes-admin@kubernetes

第七步:創(chuàng)建clusterrole賦予查看Pod的權(quán)限,因為是查看所有命名空間Pod,所以這里使用clusterrole

cat clusterrole.yaml 
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: clusterrole-lisi
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch" ,"list"]

kubectl apply -f clusterrole.yaml

第八步:創(chuàng)建clusterrolebinding綁定lisi用戶

kubectl create clusterrolebinding  lisi --clusterrole=clusterrole-lisi --user=lisi

第九步:切換lisi用戶測試權(quán)限

kubectl config use-context lisi@kubernetes
kubectl get pods

第十步:在Linux中添加一個lisi系統(tǒng)用戶,并賦予密碼

useradd lisi
passwd lisi

第十步:將/root/.kube/目錄復(fù)制到lisi用戶家目錄,并賦權(quán)

cp -rp /root/.kube /home/lisi
chown -R  lisi:lisi /home/lisi

第十一步:切換zhangsan用戶修改/home/lisi/.kube/config只保留張三用戶信息

su - lisi
vim .kube/config

【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S,# 3-Kubernetes容器編排,kubernetes,運維,容器,RBAC授權(quán),K8S集群用戶

測試使用lisi用戶訪問集群

kubectl get pods

OK,至此結(jié)束!文章來源地址http://www.zghlxwxcb.cn/news/detail-569621.html

到了這里,關(guān)于【Kubernetes運維篇】RBAC之創(chuàng)建集群用戶管理K8S的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 25-k8s集群中-RBAC用戶角色資源權(quán)限

    25-k8s集群中-RBAC用戶角色資源權(quán)限

    ? ? ? ? 我們通過k8s各組件架構(gòu),指導(dǎo)各個組件之間是使用https進(jìn)行數(shù)據(jù)加密及交互的,那么同理,我們作為“使用”k8s的各種資源,也是通過https進(jìn)行數(shù)據(jù)加密的; ? ? ? ? k8s通過我們家目錄下的證書來判斷我們是誰?通過證書內(nèi)容,認(rèn)定我們的權(quán)限; 用戶證書的位置 [r

    2024年02月22日
    瀏覽(25)
  • 使用Vagrant創(chuàng)建和管理本地Kubernetes(K8s)集群的步驟是什么

    使用Vagrant創(chuàng)建和管理本地Kubernetes(K8s)集群的步驟是什么

    ??個人主頁:程序員 小侯 ??CSDN新晉作者 ??歡迎 ??點贊?評論?收藏 ?收錄專欄:云計算 ?文章內(nèi)容:Vagrant ??希望作者的文章能對你有所幫助,有不足的地方請在評論區(qū)留言指正,大家一起學(xué)習(xí)交流!?? 在本文中,我們將探討如何使用Vagrant來創(chuàng)建和管理一個本地的

    2024年02月09日
    瀏覽(26)
  • 【Kubernetes運維篇】零故障升級Pod健康探測詳解

    【Kubernetes運維篇】零故障升級Pod健康探測詳解

    中文官方參考文檔: Pod探測是Kubernetes中的一種機(jī)制, 用于檢測Pod的狀態(tài)和健康狀況。當(dāng)探測到Pod狀態(tài)不正常時,根據(jù)重啟策略進(jìn)行相應(yīng)的Pod操作 ,探測可以幫助Kubernetes集群自動化地管理容器的健康狀態(tài),提高應(yīng)用程序的可靠性和可用性。 探測針對Pod中容器進(jìn)行操作,所以探

    2024年02月08日
    瀏覽(25)
  • 【Kubernetes運維篇】ingress-nginx實現(xiàn)業(yè)務(wù)灰度發(fā)布詳解

    【Kubernetes運維篇】ingress-nginx實現(xiàn)業(yè)務(wù)灰度發(fā)布詳解

    1、場景一:將新版本灰度給部分用戶 假設(shè)線上運行了一套對外提供 7 層服務(wù)的 Service A 服務(wù),后來開發(fā)了個新版本 Service AA需要上線,但不想直接替換掉原來的 Service A,希望先灰度一小部分用戶,等運行一段時間足夠穩(wěn)定了再逐漸全量上線新版本,最后平滑下線舊版本。 這

    2024年02月15日
    瀏覽(23)
  • 解密Kubernetes(K8s)集群的創(chuàng)建過程和關(guān)鍵步驟

    解密Kubernetes(K8s)集群的創(chuàng)建過程和關(guān)鍵步驟

    ??個人主頁:程序員 小侯 ??CSDN新晉作者 ??歡迎 ??點贊?評論?收藏 ?收錄專欄:云計算 ?文章內(nèi)容:Kubernetes集群 ??希望作者的文章能對你有所幫助,有不足的地方請在評論區(qū)留言指正,大家一起學(xué)習(xí)交流!?? 創(chuàng)建Kubernetes集群是在云原生環(huán)境中托管和管理容器化應(yīng)

    2024年02月09日
    瀏覽(24)
  • K8S:Rancher管理 Kubernetes 集群

    K8S:Rancher管理 Kubernetes 集群

    Rancher 是一個開源的企業(yè)級多集群 Kubernetes 管理平臺,實現(xiàn)了 Kubernetes 集群在混合云+本地數(shù)據(jù)中心的集中部署與管理, 以確保集群的安全性,加速企業(yè)數(shù)字化轉(zhuǎn)型。超過 40000 家企業(yè)每天使用 Rancher 快速創(chuàng)新。 官網(wǎng):https://docs.rancher.cn/ Rancher 和 k8s 都是用來作為容器的調(diào)度與

    2024年02月07日
    瀏覽(28)
  • 云原生Kubernetes:阿里云托管k8s集群ACK創(chuàng)建和使用

    云原生Kubernetes:阿里云托管k8s集群ACK創(chuàng)建和使用

    目錄 ? 一、理論 1.容器服務(wù)Kubernetes版 2.ACK Pro版集群概述 3.ACK版本說明 二、實驗 1.創(chuàng)建專有版Kubernetes集群 三、問題 1.依賴檢查未通過 ? (1)概念 阿里云容器服務(wù)Kubernetes版(Alibaba Cloud Container Service for Kubernetes,簡稱容器服務(wù)ACK)是全球首批通過Kubernetes一致性認(rèn)證的服務(wù)平

    2024年02月13日
    瀏覽(36)

  • 遠(yuǎn)程管理服務(wù)器 用戶組創(chuàng)建 1(運維筆記)

    修改跳板機(jī)名稱: 修改跳板機(jī)網(wǎng)絡(luò)模式為僅主機(jī)模式,ssh連接 假設(shè)有三個開發(fā)人員: 為三個開發(fā)人員設(shè)置密碼: 創(chuàng)建相應(yīng)的目錄,給開發(fā)人員使用: 查看開發(fā)人員屬組: 創(chuàng)建一個組: 添加用戶附加組 查看組信息 賦予權(quán)限,更改目錄權(quán)限: 冒險位(setuid):4000針對一些命令,臨

    2023年04月13日
    瀏覽(27)
  • K8s攻擊案例:RBAC配置不當(dāng)導(dǎo)致集群接管

    K8s攻擊案例:RBAC配置不當(dāng)導(dǎo)致集群接管

    01、概述 Service Account本質(zhì)是服務(wù)賬號,是Pod連接K8s集群的憑證。在默認(rèn)情況下,系統(tǒng)會為創(chuàng)建的Pod提供一個默認(rèn)的Service Account,用戶也可以自定義Service Account,與Service Account關(guān)聯(lián)的憑證會自動掛載到Pod的文件系統(tǒng)中。 當(dāng)攻擊者通過某個web應(yīng)用獲取到一個Pod權(quán)限時,如果RBAC權(quán)

    2024年02月02日
    瀏覽(22)

  • yum部署kubernetes(k8s)集群、k8s常用資源管理

    目錄 一、環(huán)境搭建 1、準(zhǔn)備環(huán)境 1)計算機(jī)說明,建議系統(tǒng)版本7.4或者7.6 2)修改所有主機(jī)的計算機(jī)名設(shè)置host文件 ?2、安裝master節(jié)點 1)安裝etcd配置etcd 2)安裝k8s-master節(jié)點 3)配置apiserver 4)配置controller和scheduler 5)啟動k8s服務(wù) 3、安裝k8s-master上的node 1)安裝node 2)配置kube

    2024年02月13日
    瀏覽(35)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包