k8s通过系统配置文件kubeconfig文件实现权限的精细化分配

文章目录

通过系统配置文件kubeconfig文件实现权限的精细化分配

一.获取k8s apiserver 地址

复制代码
cat /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl -n planck describe secret $(kubectl get secret -n planck | grep lishanbin | awk '{print $1}')

k8s的apiserver地址为:https://xxx:6443

token="xxx"

二.集群的ca证书生成

cfssl 安装

复制代码
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@localhost etcd]# mv cfssl_linux-amd64 /usr/bin/cfssl

cfssljson 安装

复制代码
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@localhost etcd]# mv cfssljson_linux-amd64 /usr/bin/cfssljson

生产证书

复制代码
[root@localhost etcd]# chmod +x /usr/bin/{cfssl,cfssljson}
cfssl gencert -initca ca-csr.json | cfssljson  -bare ca

三.创建kubeconfig文件

1.设置集群参数

config文件引入集群ca证书,这里的set-cluster 可以任意设置,想叫什么集群名字都可以,我这里定义为mykubernetes,kubeconfig文件名称也随意定义,我这里定义为test.kubeconfig,此命令执行后会在当前目录生成test.kubeconfig这个文件:

复制代码
KUBE_APISERVER="https://kube-apiserver.allenjol.cn"
SECRET_TOKEN="xxxxxx"
 
kubectl config set-cluster mykubernetes \
--certificate-authority=/mnt/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=test.kubeconfig

定义的用户名称是test,当然,用户名称可以随意定义。里面的token就已经带了前面建立的sa的权限---查看dev这个namespace下的pod的权限:

复制代码
kubectl config set-credentials "test" \
--token=${SECRET_TOKEN} \
--kubeconfig=test.kubeconfig

定义上下文名称

复制代码
kubectl config set-context quanxianfenpei \
  --cluster=mykubernetes \
  --user=test \
  --kubeconfig=test.kubeconfig

查看(发现没有)

复制代码
kubectl config get-contexts

切换上下文,其实这一步就是将ca证书和token关联起来并写在了这个新定义的kubeconfig文件内。

验证:

复制代码
kubectl  create deploy nginx --image=nginx -n saas
kubectl --kubeconfig=/root/cert/test.kubeconfig  delete  pod nginx-6799fc88d8-xp76x   -n planck --insecure-skip-tls-verify
相关推荐
代码老y1 小时前
Docker:容器化技术的基石与实践指南
运维·docker·容器
掘金-我是哪吒6 小时前
分布式微服务系统架构第156集:JavaPlus技术文档平台日更-Java线程池使用指南
java·分布式·微服务·云原生·架构
阿里云云原生7 小时前
Serverless JManus: 企业生产级通用智能体运行时
云原生
Kookoos11 小时前
ABP VNext + Tye:本地微服务编排与调试
微服务·云原生·架构·tye
掘金-我是哪吒16 小时前
分布式微服务系统架构第157集:JavaPlus技术文档平台日更-Java多线程编程技巧
java·分布式·微服务·云原生·架构
掘金-我是哪吒16 小时前
分布式微服务系统架构第155集:JavaPlus技术文档平台日更-Java线程池实现原理
java·分布式·微服务·云原生·架构
朱杰jjj17 小时前
Docker容器中无法使用vim、vi命令处理
docker·容器·vim
东林牧之17 小时前
CICD[软件安装]:docker安装gitlab
docker·容器·gitlab
cui_hao_nan1 天前
Docker后端部署
运维·docker·容器
小张是铁粉1 天前
docker在Linux的安装遇到的问题
linux·docker·容器