k8s指定命名空间kubeconfig文件生成教程

文章目录

    • 前言
      • k8sv1.24及以上版本
        • [创建 ServiceAccount](#创建 ServiceAccount)
        • [创建Role 和 RoleBinding](#创建Role 和 RoleBinding)
        • [长期 token Secret创建](#长期 token Secret创建)
        • [提取 token 和 CA](#提取 token 和 CA)
        • [生成 kubeconfig](#生成 kubeconfig)
        • 验证
      • k8sv1.24及以下版本

前言

创建指定命名空间的kubeconfig文件是为了安全考虑,有时候开发会想要admin的kubeconfig的配置文件来实现自动化管理pod,但是给管理员权限风险较大(之前开发就搞崩了几次k8s)所以创建指定命名空间的kubeconfig较好,只能操作固定命名空间的资源,k8s也有完善的防提权机制,碰不到别的命名空间。

注:1.24版本前后的创建方式不一样

k8sv1.24及以上版本

创建 ServiceAccount
powershell 复制代码
kubectl create serviceaccount monitoring-user -n monitoring
创建Role 和 RoleBinding
python 复制代码
cat <<EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: monitoring-user-role
  namespace: monitoring #命名空间
rules:
- apiGroups: ["*"]  #给所有权限
  resources: ["*"] #给所有权限
  verbs: ["*"] #给所有权限
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: monitoring-user-binding
  namespace: monitoring
subjects:
- kind: ServiceAccount
  name: monitoring-user
  namespace: monitoring
roleRef:
  kind: Role
  name: monitoring-user-role
  apiGroup: rbac.authorization.k8s.io
EOF
长期 token Secret创建
powershell 复制代码
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: monitoring-user-token
  namespace: monitoring
  annotations:
    kubernetes.io/service-account.name: monitoring-user
type: kubernetes.io/service-account-token
EOF
提取 token 和 CA
powershell 复制代码
TOKEN=$(kubectl get secret monitoring-user-token -n monitoring -o jsonpath='{.data.token}' | base64 -d)
kubectl get secret monitoring-user-token -n monitoring -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt
APISERVER=https://192.168.10.11:6443
生成 kubeconfig
powershell 复制代码
kubectl config set-cluster k8s-cluster \
  --certificate-authority=ca.crt \
  --embed-certs=true \
  --server=${APISERVER} \
  --kubeconfig=monitoring-user.kubeconfig

kubectl config set-credentials monitoring-user \
  --token=${TOKEN} \
  --kubeconfig=monitoring-user.kubeconfig

kubectl config set-context monitoring-user@k8s-cluster \
  --cluster=k8s-cluster \
  --user=monitoring-user \
  --namespace=monitoring \
  --kubeconfig=monitoring-user.kubeconfig

kubectl config use-context monitoring-user@k8s-cluster --kubeconfig=monitoring-user.kubeconfig
验证
powershell 复制代码
kubectl --kubeconfig=monitoring-user.kubeconfig get pods 
powershell 复制代码
kubectl --kubeconfig=monitoring-user.kubeconfig get pods -A

k8sv1.24及以下版本

k8sv1.24以下对比以上版本的区别在于不需要手动创建secret,会自动生成

创建 RBAC(SA + Role + RoleBinding)
powershell 复制代码
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ServiceAccount
metadata:
  name: monitoring-admin
  namespace: monitoring
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: monitoring-full
  namespace: monitoring
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: monitoring-admin-binding
  namespace: monitoring
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: monitoring-full
subjects:
- kind: ServiceAccount
  name: monitoring-admin
  namespace: monitoring
EOF
生产kubeconfig文件
powershell 复制代码
NAMESPACE="monitoring"
SA="monitoring-admin"
APISERVER="https://192.168.10.11:6443"
OUTPUT="monitoring.kubeconfig"

# 1.23 自动生成了 secret,直接取
SECRET=$(kubectl get sa ${SA} -n ${NAMESPACE} -o jsonpath='{.secrets[0].name}')
TOKEN=$(kubectl get secret ${SECRET} -n ${NAMESPACE} -o jsonpath='{.data.token}' | base64 -d)
kubectl get secret ${SECRET} -n ${NAMESPACE} -o jsonpath='{.data.ca\.crt}' | base64 -d > /tmp/ca.crt

kubectl config set-cluster monitoring-cluster \
  --server=${APISERVER} \
  --certificate-authority=/tmp/ca.crt \
  --embed-certs=true \
  --kubeconfig=${OUTPUT}

kubectl config set-credentials ${SA} \
  --token=${TOKEN} \
  --kubeconfig=${OUTPUT}

kubectl config set-context monitoring-context \
  --cluster=monitoring-cluster \
  --namespace=${NAMESPACE} \
  --user=${SA} \
  --kubeconfig=${OUTPUT}

kubectl config use-context monitoring-context --kubeconfig=${OUTPUT}
相关推荐
weixin_4713830311 小时前
Docker - 05 - 构建流程
运维·docker·容器
ejinxian14 小时前
微虚拟机 smolvm 与Docker 容器比较
运维·docker·容器·smolvm
爱码少年14 小时前
Docker如何一次查看多个容器日志
运维·docker·容器
蜀道山老天师15 小时前
K8s 数据存储全解析:从 EmptyDir 到 PV/PVC
云原生·容器·kubernetes
创世宇图16 小时前
【Python工程化实战】Kubernetes 中 Python 应用的优雅启停与健康检查:零停机滚动更新实战
python·云原生·kubernetes·优雅停机
江畔柳前堤17 小时前
第16章:docker企业级实战综合项目
运维·git·安全·docker·容器·eureka
zh731419 小时前
docker日志监控dozzle,高性能,性能消耗小
运维·docker·容器
weixin_4713830319 小时前
Docker - 05 - Railway 部署
运维·docker·容器
江畔柳前堤19 小时前
第15章:docker故障排查与面试题
大数据·运维·git·elasticsearch·docker·容器·eureka