文章目录
- 通过系统配置文件kubeconfig文件实现权限的精细化分配
-
- [一.获取k8s apiserver 地址](#一.获取k8s apiserver 地址)
- 二.集群的ca证书生成
- 三.创建kubeconfig文件
通过系统配置文件kubeconfig文件实现权限的精细化分配
一.获取k8s apiserver 地址
cat /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl -n planck describe secret $(kubectl get secret -n planck | grep lishanbin | awk '{print $1}')
k8s的apiserver地址为:https://xxx:6443
token="xxx"
二.集群的ca证书生成
cfssl 安装
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@localhost etcd]# mv cfssl_linux-amd64 /usr/bin/cfssl
cfssljson 安装
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@localhost etcd]# mv cfssljson_linux-amd64 /usr/bin/cfssljson
生产证书
[root@localhost etcd]# chmod +x /usr/bin/{cfssl,cfssljson}
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
三.创建kubeconfig文件
1.设置集群参数
config文件引入集群ca证书,这里的set-cluster 可以任意设置,想叫什么集群名字都可以,我这里定义为mykubernetes,kubeconfig文件名称也随意定义,我这里定义为test.kubeconfig,此命令执行后会在当前目录生成test.kubeconfig这个文件:
KUBE_APISERVER="https://kube-apiserver.allenjol.cn"
SECRET_TOKEN="xxxxxx"
kubectl config set-cluster mykubernetes \
--certificate-authority=/mnt/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=test.kubeconfig
定义的用户名称是test,当然,用户名称可以随意定义。里面的token就已经带了前面建立的sa的权限---查看dev这个namespace下的pod的权限:
kubectl config set-credentials "test" \
--token=${SECRET_TOKEN} \
--kubeconfig=test.kubeconfig
定义上下文名称
kubectl config set-context quanxianfenpei \
--cluster=mykubernetes \
--user=test \
--kubeconfig=test.kubeconfig
查看(发现没有)
kubectl config get-contexts
切换上下文,其实这一步就是将ca证书和token关联起来并写在了这个新定义的kubeconfig文件内。
验证:
kubectl create deploy nginx --image=nginx -n saas
kubectl --kubeconfig=/root/cert/test.kubeconfig delete pod nginx-6799fc88d8-xp76x -n planck --insecure-skip-tls-verify