k8s通过系统配置文件kubeconfig文件实现权限的精细化分配

文章目录

通过系统配置文件kubeconfig文件实现权限的精细化分配

一.获取k8s apiserver 地址

复制代码
cat /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl -n planck describe secret $(kubectl get secret -n planck | grep lishanbin | awk '{print $1}')

k8s的apiserver地址为:https://xxx:6443

token="xxx"

二.集群的ca证书生成

cfssl 安装

复制代码
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@localhost etcd]# mv cfssl_linux-amd64 /usr/bin/cfssl

cfssljson 安装

复制代码
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@localhost etcd]# mv cfssljson_linux-amd64 /usr/bin/cfssljson

生产证书

复制代码
[root@localhost etcd]# chmod +x /usr/bin/{cfssl,cfssljson}
cfssl gencert -initca ca-csr.json | cfssljson  -bare ca

三.创建kubeconfig文件

1.设置集群参数

config文件引入集群ca证书,这里的set-cluster 可以任意设置,想叫什么集群名字都可以,我这里定义为mykubernetes,kubeconfig文件名称也随意定义,我这里定义为test.kubeconfig,此命令执行后会在当前目录生成test.kubeconfig这个文件:

复制代码
KUBE_APISERVER="https://kube-apiserver.allenjol.cn"
SECRET_TOKEN="xxxxxx"
 
kubectl config set-cluster mykubernetes \
--certificate-authority=/mnt/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=test.kubeconfig

定义的用户名称是test,当然,用户名称可以随意定义。里面的token就已经带了前面建立的sa的权限---查看dev这个namespace下的pod的权限:

复制代码
kubectl config set-credentials "test" \
--token=${SECRET_TOKEN} \
--kubeconfig=test.kubeconfig

定义上下文名称

复制代码
kubectl config set-context quanxianfenpei \
  --cluster=mykubernetes \
  --user=test \
  --kubeconfig=test.kubeconfig

查看(发现没有)

复制代码
kubectl config get-contexts

切换上下文,其实这一步就是将ca证书和token关联起来并写在了这个新定义的kubeconfig文件内。

验证:

复制代码
kubectl  create deploy nginx --image=nginx -n saas
kubectl --kubeconfig=/root/cert/test.kubeconfig  delete  pod nginx-6799fc88d8-xp76x   -n planck --insecure-skip-tls-verify
相关推荐
鼠鼠我捏,要死了捏1 小时前
蓝绿发布与滚动更新:基于Kubernetes的微服务零停机切换实战指南
微服务·kubernetes·blue-green
xiao-xiang2 小时前
k8s下的发布策略详解
云原生·容器·kubernetes·部署·cicd·发布
优秀的老黄2 小时前
Docker部署RabbitMQ
linux·运维·docker·中间件·容器·centos·rabbitmq
Lin_Aries_04212 小时前
容器使用卷
linux·运维·docker·云原生·容器·eureka
寒士obj3 小时前
Docker的使用及核心命令
运维·docker·容器
邂逅星河浪漫3 小时前
【Docker-Nginx】通过Docker部署Nginx容器
nginx·docker·容器
Dontla4 小时前
Docker Compose healthcheck介绍(监控容器中服务的实际健康状态)数据库健康检查pg_isready
数据库·docker·容器
HeXDev4 小时前
【Docker】一键将运行中的容器打包成镜像并导出
运维·docker·容器
有谁看见我的剑了?5 小时前
k8s-临时容器学习
学习·容器·kubernetes
The_Second_Coming5 小时前
容器应用学习笔记:containerd 篇
运维·笔记·学习·容器·containerd