51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

实践中理解Kubernetes RBAC之Role

作者:Marionxue
运维 系统运维
本篇带给大家如何创建一个用户、授权操作k8s集群的过程。希望对你有所帮助!

[[403408]]

背景

172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。

创建访问architechure命名空间的用户

1.给用户devops 创建一个私钥

  1. openssl genrsa -out devops.key 2048 

2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组)

  1. openssl req -new -key devops.key -out devops.csr -subj "/CN=devops/O=architechure" 

3.然后找到我们的Kubernetes集群的CA,我们使用的是kubeadm安装的集群,CA相关证书位于/etc/kubernetes/pki/目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA的目录,我们会利用该目录下面的ca.crt和ca.key两个文件来批准上面的证书请求,生成最终的证书文件,我们这里设置证书的有效期为500天

  1. scp root@172.16.99.128:/etc/kubernetes/pki/ca.crt . 
  2. scp root@172.16.99.128:/etc/kubernetes/pki/ca.key . 
  3. openssl x509 -req -in devops.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out devops.crt -days 500 
  4. ➜  ls -al 
  5. total 72 
  6. drwxr-xr-x  11 marion  staff   352 Dec 25 11:32 . 
  7. drwxr-xr-x  13 marion  staff   416 Dec 25 11:26 .. 
  8. -rw-r--r--   1 marion  staff    17 Dec 25 11:32 .srl 
  9. -rw-r--r--   1 marion  staff  1156 Dec 25 11:32 README.md 
  10. -rw-r--r--   1 marion  staff  1025 Dec 25 11:30 ca.crt 
  11. -rw-------   1 marion  staff  1675 Dec 25 11:30 ca.key 
  12. -rw-r--r--   1 marion  staff  1009 Dec 25 11:32 devops.crt 
  13. -rw-r--r--   1 marion  staff   924 Dec 25 11:30 devops.csr 
  14. -rw-r--r--   1 marion  staff  1679 Dec 25 11:27 devops.key 

4.现在我们可以使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证:

  1. kubectl config set-credentials devops --client-certificate=devops.crt  --client-key=devops.key 

5.通过刚才创建的用户凭证创建新的上下文(Context)

  1. #如果你的电脑上正在管理多个集群的,可能你的集群名字会被改变,因此在下面的--cluster参数处指明实际的集群名称,如下图 
  2. kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=architechure --user=devops 

6.尝试通过该用户操作命令

  1. ➜  kubectl get pods --context=devops-context 
  2. Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "architechure" # 因为该devops-context还没有操作API的权限 

7.给用户创建一个role的角色devops.role.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: Role 
  3. metadata: 
  4.   name: devops-role 
  5.   namespace: architechure 
  6. rules: 
  7. - apiGroups: ["""extensions""apps"
  8.   resources: ["deployments""replicasets""pods"
  9.   verbs: ["get""list""watch""create""update""patch""delete"] # 也可以使用['*'

然后在集群中创建该角色

  1. kubectl apply -f ./devops.role.yaml 

8.创建权限与角色之间的绑定关系devops-rolebinding.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: RoleBinding 
  3. metadata: 
  4.   name: devops-rolebinding 
  5.   namespace: architechure 
  6. subjects: 
  7. - kind: User 
  8.   name: devops 
  9.   apiGroup: "" 
  10. roleRef: 
  11.   kind: Role 
  12.   name: devops-role # 上一步创建的devops-role实体 
  13.   apiGroup: "" 

在集群中创建角色与用户之间的绑定关系

  1. k apply -f ./devops-rolebinding.yaml 

9.此时我们可以通过kubecm切换到该角色上

此时,从下图就可以查看到当前集群的有一个新的用户角色devops,上面用到的Kubecm我们之前也分享过,如果需要可以点此跳转

10.权限验证

  1. > kubectl get pods 
  2. No resources found in architechure namespace. 
  3. > kubectl get replicasets 
  4. No resources found in architechure namespace. 
  5. > kubectl get deploy 
  6. No resources found in architechure namespace. 
  7. > kubectl get svc 
  8. Error from server (Forbidden): services is forbidden: User "devops" cannot list resource "services" in API group "" in the namespace "architechure" 

总结一下就是:

  • 根据集群的CA证书创建出来用户证书
  • 根据用户证书创建该用户在集群内的凭证和上下文内容
  • 要想用户能进行基本的操作,需要对用户针对apiGroup授权

为devops用户增加指定命名空间的权限

1.我们先把当前上下文切换到之前有权限操作的user-tf26gt9mmk用户上

  1. kubecm switch 
  2. select dev 

否则以下步骤会出错:

2.首先需要创建针对指定命名空间的上下文

  1. kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=default --user=devops 

此时查询列举default空间下的pods是不行的,因为还没允许操作

  1. kubectl get pods --context=devops-context 
  2. Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "default" 

3.创建default空间下的role与rolebinding

devops-role-default.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: Role 
  3. metadata: 
  4.   name: devops-role 
  5.   namespace: default 
  6. rules: 
  7. - apiGroups: ["""extensions""apps"
  8.   resources: ["deployments""replicasets""pods"
  9.   verbs: ["get""list""watch""create""update""patch""delete"] # 也可以使用['*'

devops-rolebinding-default.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: RoleBinding 
  3. metadata: 
  4.   name: devops-rolebinding 
  5.   namespace: default 
  6. subjects: 
  7. - kind: User 
  8.   name: devops 
  9.   apiGroup: "" 
  10. roleRef: 
  11.   kind: Role 
  12.   name: devops-role 
  13.   apiGroup: "" 

然后我们在集群中创建这两个对象

  1. kubectl apply -f devops-role-default.yaml 
  2. kubectl apply -f devops-rolebinding-default.yaml 

4.查看role资源对象是否创建

  1. kubectl get role -A |grep devops-role # 分别在architechure和default命名空间下 
  2. architechure                   devops-role                                      2021-05-17T07:57:27Z 
  3. default                        devops-role                                      2021-05-28T03:19:24Z 

5.切换当前上下文环境,验证是否可以操作资源

  1. kubecm switch 
  2. select devops-context 
  3. kubectl get pods -n default 
  4. kubectl get pods -n architechure 

到这里就基本上说清楚如何创建一个用户、授权操作k8s集群的过程了。

 

责任编辑:姜华 来源: 云原生生态圈
KubernetesRBACRole
相关推荐
Python数组实践中具体问题分析
Python数组在实际的应用中有不少的问题需要我们解决。在经常的使用中我们要详细的学习相关的技术问题。希望对大家有所帮助。

2010-03-09 17:32:45

Python数组
在项目实践中如何选择编程语言
选择使用什么样编程语言对于一个项目来说是一个最关键的技术决策。因为这项决策会影响到项目框架结构和你所能够利用上的资源,以及雇佣员工。既然如此,你是如何去选择编程语言的呢?事实上,你很有可能采取一些大众...

2013-04-19 10:40:03

HTML5在实践中走向成熟
你可能不知道什么叫W3C(万维网联盟),但你一定听说过HTML5.。作为新一代网络标准,HTML5逐渐在中国移动互联网界崭露头角,已成为2012年业界年度热词之一。而作为主导制定HTML5标准并在全球范围内将其进行广泛推广的国际性组织,W3C进入中国已经6年。

2012-08-30 16:24:04

HTML5欧朋W3C
Kubernetes监控优秀实践
Kubernetes是一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。Kubernetes拥有一个庞大且快速增长的生态系统。Kubernetes的服务、支持和工具广泛可用。

2021-03-11 14:33:28

Kubernetes开源容器
Kubernetes实践优雅终止
Pod销毁时,会停止容器内的进程,通常在停止的过程中我们需要执行一些善后逻辑,比如等待存量请求处理完以避免连接中断,或通知相关依赖进行清理等,从而实现优雅终止目的。本文介绍在Kubernetes场景下,实现容器优雅终止的最佳实践。

2021-06-04 10:52:51

kubernetes场景容器
解读 Java 云原生实践中的内存问题
对外提供服务的业务往往会带来更活跃的内存分配动作,比如创建新的对象、开启执行线程,这些操作都需要开辟内存空间,所以线上业务往往耗费更多内存。并且越是流量高峰期,耗费的内存会更多。所以为了保证服务质量,需要依据自身业务流量,对应用内存配置进行相应扩容。

2023-01-14 22:59:34

技术详解 | 使用 RBAC 让你的访问管理更容易
在大中型企业的实践中,RBAC授权模型已经被认为是最佳的员工授权管理解决方案。

2021-07-19 19:44:57

技术模型实践
Java线程同步问题在实践中寻找答案
Java线程同步在不断的学习中有很多的问题需要注意。下面的文章希望大家在看完之后对于Java线程同步有所自己的见解。

2010-03-17 16:06:08

Java线程同步
实践中SQL Server排序规则应用的扩展
SQLServer中字符串的物理存储由排序规则控制,下文对SQLServer排序规则应用的扩展作了详尽的阐述,如果您感兴趣的话,不妨一看。

2010-11-11 14:28:01

SQL Server排
解读 Java 云原生实践中的内存问题(必看)
Java凭借着自身活跃的开源社区和完善的生态优势,在过去的二十几年一直是最受欢迎的编程语言之一。步入云原生时代,蓬勃发展的云原生技术释放云计算红利,推动业务进行云原生化改造,加速企业数字化转型。

2023-12-06 15:21:16

Java云原生
分享一些在项目实践中的CSS技巧
本文介绍了使用三个CSS的技巧,希望对你有帮助,一起来看。

2011-06-16 16:39:14

CSS
尴尬,在Kafka生产实践中又出问题了
本文从一个生产实际故障开始进行分析,经过分析得出单副本主题在集群中单台节点下线会引起部分队列无法写入,解决办法是要先执行主题分区移动,也就是将需要停止的broker上所在的分区移动到其他broker上,这个过程并不会对消息发送,消息消费造成影响。

2022-09-19 08:35:28

Kafka节点故障
实践中的MongoDB:数据建模和查询优化的技巧
通过合理的数据模型设计、索引选择和查询优化技巧,可以提高MongoDB系统的性能、可扩展性和稳定性。同时,定期监测和调整系统,保持系统的高效运行和持续优化。

2023-08-24 09:44:16

数据库性能
理解Kubernetes的Nginx Ingress
文章对NginxIngress做了介绍,Kubernetes中可以选择的Ingress有很多,读者可以根据需要选择。

2022-03-15 08:36:34

NginxKubernetesIngress
优秀的优化器是在实践中磨练出来的
OracleDBA看到这条SQL会觉得十分不解,为啥能写出这样的SQL语句来呢?程序员的大脑DBA是很难理解的。就是不知道我们的数据库厂商懂不懂了。不过实际应用场景中我们确实经常遇到这样的奇葩SQL。

2022-11-26 00:02:00

优化器SQL语句
30个高可用Prometheus架构实践中的踩坑集锦
本文主要分享在Prometheus实践中遇到的一些问题和思考,如果你对Kubernetes监控体系或Prometheus的设计还不太了解,可以先看下容器监控系列[1]。

2020-08-20 10:10:43

Prometheus架构监控
服务器存储虚拟化实践中的三大策略
服务器存储虚拟化还是有不少的问题存储,当时有的时候还是需要不断的技术突破。下面我们就来看看服务器存储虚拟化在使用的时候遇到的各种问题。

2012-05-18 09:29:18

服务器存储虚拟化
如何在实践中做好数据中心资源平衡
本文将和大家讨论作为达到资源优化这一目的所使用的手段——资源规划和问题缓解。

2012-02-24 09:49:21

虚拟化数据中心Citrix
软件开发安全应用实践中的十个误区
显然SCA系统只解决软件供应链环节中一个环节问题,就是在上线前检测软件包含的开源软件组件,并根据组件信息分析漏洞和许可协议风险。对比软件供应链的主要威胁:恶意篡改、假冒伪劣、供应中断、信息泄露、违规操作以及其他威胁等,能解决的问题实在有限。

2022-12-09 11:46:20

如何在实践中做好数据中心资源平衡
单一硬件失灵可能导致其他物理主机发生故障。IT管理人员面临的困难在于:使用并管理好遍布整个环境的计算资源(通常包括物理的,虚拟的和云资源)。本文将和大家讨论作为达到资源优化这一目的所使用的手段资源规划和问题缓解。我们还将说明如何在问题恶化之前解决它。

2012-02-23 10:13:08

数据中心虚拟机管理负载均衡
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服