记录:注册k8s cluster账号

用户注册流程基本和 Service Account 相似,区别在于用户是需要用证书与 role 绑定。

具体流程:

1). 用 open ssl 生成私钥和证书请求、并从 CA 生成证书

shell 复制代码
openssl genrsa -out vytyang.key 2048
openssl req -new -key vytyang.key -out vytyang.csr -subj "/CN=vytyang/O=hkgi-cluster-admins"
sudo openssl x509 -req -in vytyang.csr -CA /var/snap/microk8s/current/certs/ca.crt -CAkey /var/snap/microk8s/current/certs/ca.key -CAcreateserial -out vytyang.crt -days 365

2). 在 k8s 建立 clusterRoleBinding

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: hkgi-cluster-admins
# roleRef 声明赋予哪个 role 的权限
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
# subjects 声明赋予权限的证书账号
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: Group
    name: hkgi-cluster-admins

3). 设置 config,注明 CA、url、cluster 和 user

获取 CA base64:

shell 复制代码
cat /var/snap/microk8s/current/certs/ca.crt | base64
相关推荐
运维开发故事4 天前
基于 Arthas 的多集群在线诊断系统设计与实现
kubernetes
Patrick_Wilson6 天前
从「改个端口」到 502:Next.js on k8s 的容器端口、Service 映射与 env 覆盖
docker·kubernetes·next.js
探索云原生7 天前
K8s 1.36 这个 GA 特性,把 initContainer 拉模型的 hack 干掉了
ai·云原生·kubernetes
Java之美8 天前
一次k8s升级引发的DevicePlugin注册失败
云原生·kubernetes
java_cj14 天前
深入kube-apiserver认证机制:从Bearer Token到mTLS的完整认证链解析
linux·运维·服务器·云原生·容器·kubernetes
qq_4523962315 天前
第十三篇:《K8s 安全基础:RBAC、ServiceAccount、Pod Security》
java·安全·kubernetes
睡不醒男孩03082315 天前
云原生运维实战:高并发架构下的云原生可观测性、韧性降级与自动化干预体系
数据库·kubernetes·高并发·prometheus·devops·sre·缓存调优
qq_4523962315 天前
第十四篇:《K8s 网络模型与 CNI 插件(Calico、Flannel、Cilium)》
网络·kubernetes·php
Hadoop_Liang15 天前
Kubernetes 应用 HTTPS 安全访问配置实践
https·kubernetes