k8s集群配置普通用户权限

集群管理员 :负责管理 Kubernetes 集群的用户,拥有最高权限,可以对集群中的资源进行任何操作。

开发者 :在 Kubernetes 集群中部署和管理自己的应用,可能有限制的权限,仅能管理特定的命名空间或资源。

第三方服务 :需要与 Kubernetes 集群交互的外部系统或服务,如监控、日志管理等。

日常工作中尽量不适用root权限(权限太大,我们使用普通用户进行操作)

配置普通用户操作:

1、准备证书

普通用户需要通过证书进行验证,然后通过RBAC授权。因此需要先创建证书,创建证书有两种方式,通过k8s csr申请,直接通过命令创建

创建证书请求文件 lyj-csr.json

{

"CN": "lyj",

"hosts": [],

"key": {

"algo": "rsa",

"size": 2048

},

"names": [

{

"C": "CN",

"ST": "BeiJing",

"L": "BeiJing",

"O": "k8s",

"OU": "System"

}

]

}

生成证书

cfssl gencert -ca=/data/tls/k8s/ca.pem -ca-key=/data/tls/k8s/ca-key.pem -config=/data/tls/k8s/ca-config.json -profile=kubernetes lyj-csr.json | cfssljson -bare client

设置名为kubernetes集群

kubectl config set-cluster kubernetes \

--certificate-authority=/data/kubernetes/ssl/ca.pem \

--embed-certs=true \

--server="https://192.168.7.100:6443" \

--kubeconfig=lyj-config

设置用户

kubectl config set-credentials lyj \

--client-certificate=./client.pem \

--client-key=./client-key.pem \

--embed-certs=true \

--kubeconfig=lyj-config

设置上下文信息

kubectl config set-context default \

--cluster=kubernetes \

--user=lyj \

--kubeconfig=lyj-config

切换上下文

kubectl config use-context default --kubeconfig=lyj-config

为用户授权:

mkdir /home/lyj/.kube

cp /root/.kube/config /home/lyj/.kube/

chown -R lyj:lyj lyj/

权即创建角色,并将角色与对象绑定

创建lyj-rbac.yaml 文件并进行应用

Kubectl apply -f lyj-rbac.yaml

--

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

name: test

rules:

  • apiGroups: ["*"] # "" 表示所有api组

resources: ["pods","pods/log","deployments"] #*表示所有资源

verbs: ["list","watch","get","create","delete"]


apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

name: testclusterrolebinding

subjects:

你可以指定不止一个"subject(主体)"

  • kind: User

name: lyj # "name" 是区分大小写的

apiGroup: rbac.authorization.k8s.io

roleRef:

"roleRef" 指定与某 Role 或 ClusterRole 的绑定关系

kind: ClusterRole # 此字段必须是 Role 或 ClusterRole

name: test # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配

apiGroup: rbac.authorization.k8s.io

再验证下切换用户到普通用户lyj,进行集群命令操作

相关推荐
chuanauc4 小时前
Kubernets K8s 学习
java·学习·kubernetes
小张是铁粉4 小时前
docker学习二天之镜像操作与容器操作
学习·docker·容器
烟雨书信4 小时前
Docker文件操作、数据卷、挂载
运维·docker·容器
IT成长日记4 小时前
【Docker基础】Docker数据卷管理:docker volume prune及其参数详解
运维·docker·容器·volume·prune
这儿有一堆花4 小时前
Docker编译环境搭建与开发实战指南
运维·docker·容器
LuckyLay4 小时前
Compose 高级用法详解——AI教你学Docker
运维·docker·容器
Uluoyu4 小时前
redisSearch docker安装
运维·redis·docker·容器
IT成长日记8 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
疯子的模样13 小时前
Docker 安装 Neo4j 保姆级教程
docker·容器·neo4j
虚伪的空想家13 小时前
rook-ceph配置dashboard代理无法访问
ceph·云原生·k8s·存储·rook