资源网站推荐几个_郑州seo关键词推广_巨量广告投放平台_上海最新疫情

<div id="article_content" class="article_content clearfix">
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/kdoc_html_views-1a98987dfd.css">
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_views-704d5b9767.css">

<div id="content_views" class="htmledit_views">
<h2><a name="t0"></a>一、RBAC概述</h2>
<h3><a name="t1"></a>1，<a href="https://so.csdn.net/so/search?q=k8s&spm=1001.2101.3001.7020" target="_blank" class="hl hl-1" data-report-click="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=k8s&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"k8s\"}"}" data-tit="k8s" data-pretit="k8s">k8s</a>集群的交互逻辑（简单了解）</h3>
        我们通过k8s各组件架构，知道各个组件之间是使用https进行<a href="https://so.csdn.net/so/search?q=%E6%95%B0%E6%8D%AE%E5%8A%A0%E5%AF%86&spm=1001.2101.3001.7020" target="_blank" class="hl hl-1" data-report-click="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=%E6%95%B0%E6%8D%AE%E5%8A%A0%E5%AF%86&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"数据加密\"}"}" data-tit="数据加密" data-pretit="数据加密">数据加密</a>及交互的，那么同理，我们作为“使用”k8s的各种资源的使用者，也是通过https进行数据加密的；
        k8s通过我们家目录下的证书来判断我们是谁？通过证书内容来认定我们的权限；
<img alt="" height="608" src="https://i-blog.csdnimg.cn/blog_migrate/4b1b4357756dbd15654d20a84564bd08.png" width="1200">
用户证书的位置
<blockquote>
[root@k8s231 ~]# ll -a .kube/config  -rw------- 1 root root 5634 Jan  1 19:40 .kube/config
</blockquote>
<h3><a name="t2"></a>2，k8s的安全架构（简单了解）</h3>
<img alt="" height="462" src="https://i-blog.csdnimg.cn/blog_migrate/12e790cf4796f4df1e431304335837db.png" width="1200">
<h3><a name="t3"></a>3，RBAC用户授权的逻辑（重要）</h3>
<img alt="" height="474" src="https://i-blog.csdnimg.cn/blog_migrate/a398d2fd5a4ea10898225e6d745fed1d.png" width="1200">
用户/主题<a href="https://so.csdn.net/so/search?q=Topic&spm=1001.2101.3001.7020" target="_blank" class="hl hl-1" data-report-view="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=Topic&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"Topic\"}"}" data-report-click="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=Topic&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"Topic\"}"}" data-tit="Topic" data-pretit="topic">Topic</a>
        1,User
        2,SerciceAccount
        3,Group
用户角色：
        1，Role：局部资源角色
        2，ClusterRole：全局资源角色
角色绑定：
        1，RoleBinding
        2，ClusterRoleBinding
<h3><a name="t4"></a>4，查看现有的集群默认角色</h3>
<blockquote>
[root@k8s231 ~]# kubectl get clusterrole | grep -v system
</blockquote>
<img alt="" height="160" src="https://i-blog.csdnimg.cn/blog_migrate/5617d6a7ce6530c9ccced4c0c0e3f445.png" width="867">
<blockquote>
admin：主要用于授权<span class="edu-hl hl hl-1" data-report-view="{"spm":"1001.2101.3001.7020","extra":"{\"word\":\"命名空间\"}"}" data-report-click="{"spm":"1001.2101.3001.7020","extra":"{\"word\":\"命名空间\"}"}" data-tit="命名空间" data-pretit="命名空间">命名空间所有读写的权限
cluster-admin:超级管理员，由集群所有权限
edit：允许对大多数对象进行读写操作，不允许查看或者修改角色、角色绑定；
view：允许对命名空间大多数对象进行读写，不允许查看角色、角色绑定、secret；
#####
kubeadm用户，只有使用kubeadm部署k8s时才会出现，不用关心它；
</blockquote>
<h2><a name="t5"></a>二、流程介绍</h2>
<h3><a name="t6"></a>1，用户的创建流程</h3>
<blockquote>
1,User
2,SerciceAccount
3,Group
</blockquote>
        本质上讲，在k8s系统中，用户，就是一个文件，这个文件在当前登录用户的家目录下；
这个文件config，就代表“我”是谁；
        这里面并没有角色、权限信息，角色和权限信息，在其他位置；
<blockquote>
[root@k8s231 ~]# ll .kube/config  -rw------- 1 root root 5634 Jan  1 19:40 .kube/config
</blockquote>
        所以，要创建用户，就是要创建这个文件；
        那么如何创建这个文件呐？
<h4><a name="t7"></a>· ssl流程介绍</h4>
<img alt="" height="338" src="https://i-blog.csdnimg.cn/blog_migrate/93fc7a982d33aac6f341208b6eee8708.png" width="939">
        知道了ssl原理，https请求过程，我们就了解了，ssl的安全机制；
        实际上k8s当中“根证书”早就生成好了，在我们kubeadm部署的时候，就自动帮我们生成了；
        k8s是模拟ca机构，给自己颁发证书，自己验证自己，所以，整数中有私钥、公钥等；
<blockquote>
[root@k8s231 ~]# ll /etc/<span class="edu-hl hl hl-1" data-report-view="{"spm":"1001.2101.3001.7020","extra":"{\"word\":\"kubernetes\"}"}" data-report-click="{"spm":"1001.2101.3001.7020","extra":"{\"word\":\"kubernetes\"}"}" data-tit="kubernetes" data-pretit="kubernetes">kubernetes/pki/ total 56 -rw-r--r-- 1 root root 1281 Jan  1 19:39 apiserver.crt -rw-r--r-- 1 root root 1155 Jan  1 19:39 apiserver-etcd-client.crt -rw------- 1 root root 1679 Jan  1 19:39 apiserver-etcd-client.key -rw------- 1 root root 1675 Jan  1 19:39 apiserver.key -rw-r--r-- 1 root root 1164 Jan  1 19:39 apiserver-kubelet-client.crt -rw------- 1 root root 1679 Jan  1 19:39 apiserver-kubelet-client.key
#根证书 -rw-r--r-- 1 root root 1099 Jan  1 19:39 ca.crt
#ca机构的私钥 -rw------- 1 root root 1679 Jan  1 19:39 ca.key drwxr-xr-x 2 root root  162 Jan  1 19:39 etcd -rw-r--r-- 1 root root 1115 Jan  1 19:39 front-proxy-ca.crt -rw------- 1 root root 1675 Jan  1 19:39 front-proxy-ca.key -rw-r--r-- 1 root root 1119 Jan  1 19:39 front-proxy-client.crt -rw------- 1 root root 1679 Jan  1 19:39 front-proxy-client.key -rw------- 1 root root 1675 Jan  1 19:39 sa.key -rw------- 1 root root  451 Jan  1 19:39 sa.pub
</blockquote>
<h4><a name="t8"></a>· 生成用户证书</h4>
        一个用户一个证书，这个用户证书，就是用来生成，用户文件的（也就是家目录下的config）
<h4><a name="t9"></a>· 生成kubeconfig用户授权文件</h4>
        有了这个授权文件，我们就拥有了一个用户了；
        但是，还没有任何权限，还无法使用；
<h3><a name="t10"></a>2，创建角色和规则</h3>
        通过资源清单的方式，创建角色和规则；
        角色就是：
<blockquote>
1，Role：局部资源角色
2，ClusterRole：全局资源角色
</blockquote>
        规则就是：这个角色的权限；能使用什么资源、不能使用什么资源，，，，
<h3><a name="t11"></a>3，角色与用户的绑定</h3>
        根据角色的不同，创建资源清单，对应不同的绑定资源清单的编写；
<blockquote>
1，RoleBinding
2，ClusterRoleBinding
</blockquote>
        只要角色和用户绑定完成，那么，RBAC的整个流程就结束了；
        我们就成功创建了一个带有特定权限的用户；就可以分发给“同事”进行使用了；
<h3><a name="t12"></a>4，逻辑流程的总结</h3>
<img alt="" height="194" src="https://i-blog.csdnimg.cn/blog_migrate/83c31af6a1d2319c07cb373a4264de9a.png" width="812">
<h2><a name="t13"></a>三、RBAC创建初体验</h2>
<h3><a name="t14"></a>1，创建用户【user】</h3>
<h4><a name="t15"></a>· 生成用户ssl证书</h4>
        以往我们使用openssl的工具命令生成证书，比较繁琐，本次学习，我给大家介绍一个证书生成工具，叫做cfssl证书生成工具；
<h5>1，上传/下载cfssl证书生成工具</h5>
cfssl工具百度网盘地址：
链接：https://pan.baidu.com/s/1gDRQuxekvgInplLkpjvhQw?pwd=f31x  提取码：f31x
或者去github地址下载：<a href="https://github.com/cloudflare/cfssl/releases" title="Releases · cloudflare/cfssl · GitHub">Releases · cloudflare/cfssl · GitHub</a>
<blockquote>
[root@k8s231 rbac]# rz -E [root@k8s231 rbac]# ll -rw-r--r-- 1 root root 10808877 Nov  8 00:30 cfssl.zip
</blockquote>
<h5>2，解压cfssl工具压缩包</h5>
<blockquote>
[root@k8s231 rbac]# unzip cfssl.zip  [root@k8s231 rbac]# ll -rw-r--r-- 1 root root 12054528 Aug 30 15:46 cfssl_1.6.4_linux_amd64 -rw-r--r-- 1 root root  9560064 Aug 30 15:45 cfssl-certinfo_1.6.4_linux_amd64 -rw-r--r-- 1 root root  7643136 Aug 30 15:48 cfssljson_1.6.4_linux_amd64 -rw-r--r-- 1 root root 10808877 Nov  8 00:30 cfssl.zip
</blockquote>
<h5>3，删除压缩包，将cfssl文件改名</h5>
        为什么改名？为了便于使用~如果你不嫌费力，可以不改~
<blockquote>
[root@k8s231 rbac]# rm -rf cfssl.zip  [root@k8s231 rbac]# rename _1.6.4_linux_amd64 "" * [root@k8s231 rbac]# ll -rw-r--r-- 1 root root 12054528 Aug 30 15:46 cfssl -rw-r--r-- 1 root root  9560064 Aug 30 15:45 cfssl-certinfo -rw-r--r-- 1 root root  7643136 Aug 30 15:48 cfssljson
</blockquote>
<h5>4，将cfssl文件编程全局命令</h5>
        将这三个文件，移动到/usr/local/bin目录下，编程全局命令~
<blockquote>
[root@k8s231 rbac]# mv ./* /usr/local/bin/
</blockquote>
<h5>5，给cfssl执行文件加执行权限</h5>
<blockquote>
[root@k8s231 rbac]# chmod +x /usr/local/bin/cfssl*
</blockquote>
<h5>6，编辑cfssl工具的生成用户ssl证书的配置文件</h5>
        根证书
<blockquote>
[root@k8s231 rbac]# cat ca-config.json  {   "signing": {     "default": {       "expiry": "87600h"     },     "profiles": {       "kubernetes": {         "usages": [             "signing",             "key encipherment",             "server auth",             "client auth"         ],         "expiry": "87600h"       }     }   } }
</blockquote>
        客户端验证签名证书
<blockquote>
[root@k8s231 rbac]# cat csr.json  {   "CN": "xinjizhiwa",   "hosts": [],   "key": {     "algo": "rsa",     "size": 2048   },   "names": [     {       "C": "CN",       "ST": "BeiJing",       "L": "BeiJing",       "O": "k8s",       "OU": "System"     }   ] }
</blockquote>
<h5>7，使用cfssl工具生成用户的ssl证书</h5>
<blockquote>
[root@k8s231 rbac]# cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes csr.json | cfssljson -bare xinjizhiwa
</blockquote>
参数解释：
<blockquote>
#使用k8s自带的证书来签发客户端证书（位置就在/etc/kubernetes/pki/下面）； -ca=/etc/kubernetes/pki/ca.crt  -ca-key=/etc/kubernetes/pki/ca.key  -config=ca-config.json  -profile=kubernetes csr.json | cfssljson -bare xinjizhiwa
</blockquote>
查看证书
<blockquote>
[root@k8s231 rbac]# ll total 20 -rw-r--r-- 1 root root  292 Feb 21 20:06 ca-config.json -rw-r--r-- 1 root root  223 Feb 21 20:07 csr.json -rw-r--r-- 1 root root 1001 Feb 21 20:11 xinjizhiwa.csr -rw------- 1 root root 1675 Feb 21 20:11 xinjizhiwa-key.pem -rw-r--r-- 1 root root 1285 Feb 21 20:11 xinjizhiwa.pem
</blockquote>
至此，我们用户的ssl证书申请完毕了；

<h4><a name="t16"></a>· 生成用户kubeconfig文件</h4>
<h5>1，编辑生成kubeconfig文件的执行脚本</h5>
<blockquote>
[root@k8s231 rbac]# cat kubeconfig.sh  #!/bin/bash
# 配置集群; # --certificate-authority：指定K8s的ca根证书文件路径 # --embed-certs： #   1，true，表示将根证书文件的内容写入到配置文件中， #   2，false,则只是引用配置文件，将kubeconfig # --server：指定APIServer的地址。 # --kubeconfig：指定kubeconfig的配置文件名称 kubectl config set-cluster xinjizhiwa-cluster \   --certificate-authority=/etc/kubernetes/pki/ca.crt \   --embed-certs=true \   --server=https://10.0.0.231:6443 \   --kubeconfig=xinjizhiwa.kubeconfig   # 设置客户端认证，客户端将来需要携带证书让服务端验证 kubectl config set-credentials xinjizhiwa-client \   --client-key=xinjizhiwa-key.pem \   --client-certificate=xinjizhiwa.pem \   --embed-certs=true \   --kubeconfig=xinjizhiwa.kubeconfig
# 设置默认上下文，可以用于绑定多个客户端和服务端的对应关系（客户端和服务端绑定）。 kubectl config set-context xinjizhiwa \   --cluster=xinjizhiwa-cluster \   --user=xinjizhiwa-client \   --kubeconfig=xinjizhiwa.kubeconfig
# 设置当前使用的上下文(正式生效) kubectl config use-context xinjizhiwa --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<h5>2，执行生成kubeconfig用户文件的执行脚本</h5>
        正式生成用户
<blockquote>
[root@k8s231 rbac]# bash kubeconfig.sh  Cluster "xinjizhiwa-cluster" set. User "xinjizhiwa-client" set. Context "xinjizhiwa" created. Switched to context "xinjizhiwa".
</blockquote>
查看生成的kubeconfig用户文件
<blockquote>
[root@k8s231 rbac]# ll ...... -rw------- 1 root root 5802 Feb 21 20:24 xinjizhiwa.kubeconfig
</blockquote>
拓展知识：也可以使用config资源清单编写生成用户kubeconfig文件
<blockquote>
[root@k8s231 rbac]# cat xinjizhiwa.kubeconfig  apiVersion: v1 clusters: - cluster:     certificate-authority-data: ......(/etc/kubernetes/pki/ca.crt)     server: https://10.0.0.231:6443   name: xinjizhiwa-cluster contexts: - context:     cluster: xinjizhiwa-cluster     user: xinjizhiwa-client   name: xinjizhiwa current-context: xinjizhiwa kind: Config preferences: {} users: - name: xinjizhiwa-client   user:     client-certificate-data: .......（xinjizhiwa.pem或者写入公钥串，pem记得base64 -d之后使用）     client-key-data: ......(xinjizhiwa-key.pem)
</blockquote>
此时使用这个用户，取查看pod，会提示你没有权限，因为咱们还没有创建、绑定角色；
<blockquote>
[root@k8s231 rbac]# kubectl get pods --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<img alt="" height="65" src="https://i-blog.csdnimg.cn/blog_migrate/2addfb6348fc9b2d2ca12adae8dd2c82.png" width="1200">
至此，我们用户“xinjizhiwa”就创建完成了；
<h3><a name="t17"></a>2，创建角色编写规则</h3>
<h4><a name="t18"></a>· 编辑角色资源清单</h4>
        上述内容中，我们知道，角色有两种，一种是全局角色ClusterRole，另一种是局部角色Role；
        我们先创建一个局部的Role角色作为学习；
<blockquote>
[root@k8s231 rbac]# cat role.yaml  apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata:   name: xinjizhiwa-role   namespace: default rules:   #声明API组;[""]代表v1；["apps"]代表apps/v1 - apiGroup: ["","apps"]   #声明API组下面的资源类型（不支持简写，只能写全称）   resources: ["pods","deployments","services"]   #声明使用方式（动作增删改查、、）   verbs: ["get","list","delete"]
</blockquote>
<h4><a name="t19"></a>· 创建角色</h4>
<blockquote>
[root@k8s231 rbac]# kubectl apply -f role.yaml
</blockquote>
查看角色
<blockquote>
[root@k8s231 rbac]# kubectl get role NAME              CREATED AT xinjizhiwa-role   2024-02-21T13:19:34Z
</blockquote>
至此，用户和角色及规则都创建成功了；
<h3><a name="t20"></a>3，绑定用户与角色</h3>
<h4><a name="t21"></a>· 编辑绑定资源清单</h4>
<blockquote>
[root@k8s231 rbac]# cat bind.yaml  apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata:   name: xinjizhiwa-bind   namespace: default #声明用户主体（绑定的用户是哪个） subjects: #由于我们用户类型有三种，所以需要写明用户类型； - kind: User   #用户名称   name: xinjizhiwa   apiGroup: rbac.authorization.k8s.io #声明角色主体（绑定的角色是哪个？） roleRef:    #角色类型   kind: Role   #角色名称   name: xinjizhiwa-role   apiGroup: rbac.authorization.k8s.io
</blockquote>
<h4><a name="t22"></a>· 创建绑定资源</h4>
<blockquote>
[root@k8s231 rbac]# kubectl apply -f bind.yaml
</blockquote>
<h3><a name="t23"></a>4，测试用户</h3>
协议个pod资源，使用用户“xinjizhiwa”创建，发现创建不了，提示权限不够；
因为，我们在创建角色规则的时候，只给了删除、和查看的能力，没有给create创建能力；
<blockquote>
[root@k8s231 rbac]# cat pod.yaml  apiVersion: v1 kind: Pod metadata:   name: pod-nginx spec:   containers:   - name: c1     image: nginx:1.20.1-alpine
</blockquote>
<blockquote>
[root@k8s231 rbac]# kubectl apply -f pod.yaml --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<img alt="" height="75" src="https://i-blog.csdnimg.cn/blog_migrate/d8eb4f51003c34429a0a5eec31a6d316.png" width="1200">
因为我们有default默认名称空间的查看、删除权限，所以我们可以进行查看；
测试查看功能
<blockquote>
[root@k8s231 rbac]# kubectl get pods --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<img alt="" height="84" src="https://i-blog.csdnimg.cn/blog_migrate/f7b65f417fe704f2917cea16fb3d4f6d.png" width="682">
测试删除功能
<blockquote>
[root@k8s231 rbac]# kubectl delete deploy --all --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<img alt="" height="40" src="https://i-blog.csdnimg.cn/blog_migrate/da525958f1378b1b59c6536aacd55ae2.png" width="777">
到此，普通用户的创建、角色绑定、角色配置就学习完毕了；
<h2><a name="t24"></a>四、其他节点使用用户登录操作k8s</h2>
        我们有了用户文件，将用户文件发送给“同事”，同事直接使用这个文件，就可以按照绑定的规则，操作k8s资源了；
<h3><a name="t25"></a>1，模拟将用户文件发给同事</h3>
        比如，同事正在使用k8s233，我们把用户文件发给他
<blockquote>
[root@k8s231 rbac]# scp xinjizhiwa.kubeconfig k8s233:/root/
</blockquote>
<h3><a name="t26"></a>2，同事在k8s233使用用户文件操作k8s资源</h3>
<blockquote>
[root@k8s233 ~]# kubectl get pods --kubeconfig=xinjizhiwa.kubeconfig
</blockquote>
<img alt="" height="67" src="https://i-blog.csdnimg.cn/blog_migrate/a02c01e12d74942b4e59e97d95762146.png" width="686">
<h3><a name="t27"></a>3，操作资源不指定文件，默认指定设置</h3>
<blockquote>
[root@k8s233 ~]# cp xinjizhiwa.kubeconfig ./.kube/config
</blockquote>
<blockquote>
[root@k8s233 ~]# kubectl get pods
</blockquote>
<img alt="" height="101" src="https://i-blog.csdnimg.cn/blog_migrate/7f25824700d759d8590473f89d28c0f2.png" width="678">
<h2><a name="t28"></a>五、用户组Group案例</h2>
<h3><a name="t29"></a>1，用户组的概念</h3>
<blockquote>
1，用户组的好处在于，无需单独为一个用户创建权限和绑定了，只需要统一把一个组进行授权，然后，将该组的用户加入进去，就没一个用户都拥有该组的权限了；
2，APIserver会优先校验用户名（ssl证书中的CN字段），若用户名没有对应的权限，则再去校验用户组（o）的权限；
        k8s中的用户、用户组都是提取ssl证书签名字段中的一个字段，不是在集群中创建的；
--证书签名中的CN字段：代表用户
--证书签名中的o字段：代表用户组
</blockquote>
<h3><a name="t30"></a>2，创建用户组Group</h3>
<h4><a name="t31"></a>· 编辑cfssl证书请求文件</h4>
<blockquote>
[root@k8s231 group]# cat ca-group.json  {   "signing": {     "default": {       "expiry": "87600h"     },     "profiles": {       "kubernetes": {         "usages": [             "signing",             "key encipherment",             "server auth",             "client auth"         ],         "expiry": "87600h"       }     }   } }
</blockquote>
<blockquote>
[root@k8s231 group]# cat xinjizhiwa-csr.json  {   "CN": "xinjizhiwa",   "hosts": [],   "key": {     "algo": "rsa",     "size": 2048   },   "names": [     {       "C": "CN",       "ST": "BeiJing",       "L": "BeiJing",       "O": "xinjizhiwa-group",       "OU": "System"     }   ] }
</blockquote>
<h4><a name="t32"></a>· 生成用户组证书</h4>
再次声明，你创建的是用户、还是用户组，取决于你的证书名称选择的签名字段，选择的是CN还是o；
<blockquote>
[root@k8s231 group]# cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-group.json -profile=kubernetes xinjizhiwa-csr.json | cfssljson -bare xinjizhiwa-group
</blockquote>
<h4><a name="t33"></a>· 编辑脚本生成用户组kubeconfig用户组文件</h4>
<blockquote>
[root@k8s231 group]# cat kubeconfig.sh  #!/bin/bash
kubectl config set-cluster xinjizhiwa-cluster \   --certificate-authority=/etc/kubernetes/pki/ca.crt \   --embed-certs=true \   --server=https://10.0.0.231:6443 \   --kubeconfig=xinjizhiwa-group.kubeconfig   # 设置客户端认证 kubectl config set-credentials xinjizhiw-client \   --client-key=xinjizhiwa-group-key.pem \   --client-certificate=xinjizhiwa-group.pem \   --embed-certs=true \   --kubeconfig=xinjizhiwa-group.kubeconfig
# 设置默认上下文 kubectl config set-context xinjizhiwa-group \   --cluster=xinjizhiwa-cluster \   --user=xinjizhiw-client \   --kubeconfig=xinjizhiwa-group.kubeconfig
# 设置当前使用的上下文 kubectl config use-context xinjizhiwa-group --kubeconfig=xinjizhiwa-group.kubeconfig
</blockquote>
<h4><a name="t34"></a>· 执行脚本生成用户组文件</h4>
<blockquote>
[root@k8s231 group]# bash kubeconfig.sh
</blockquote>
<h3><a name="t35"></a>3，创建角色、绑定用户组</h3>
<h4><a name="t36"></a>· 编辑资源清单</h4>
<blockquote>
[root@k8s231 group]# cat rbac.yaml  #创建角色 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata:   namespace: default   name: role-group rules: - apiGroups: ["","apps"]     resources: ["pods","nodes","services","deployments"]     verbs: ["get", "watch", "list","create"]  
--- #绑定用户组与角色 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata:   name: group-rolebinding   namespace: default #声明要绑定的用户/用户组 subjects:   # 声明主体类型：组 - kind: Group   # 组名(对应的O字段)   name: xinjizhiwa-group     apiGroup: rbac.authorization.k8s.io roleRef:   # 角色类型   kind: Role     # 绑定角色名称   name: role-group   apiGroup: rbac.authorization.k8s.io
</blockquote>
<h4><a name="t37"></a>· 创建用户组kubeconfig文件</h4>
<blockquote>
[root@k8s231 group]# kubectl apply -f rbac.yaml
</blockquote>
此时，我们就拥有了xinjizhiwa-group这个用户组了；
<h3><a name="t38"></a>4，创建用户加入用户组</h3>
<h4><a name="t39"></a>· 创建用户</h4>
<blockquote>
[root@k8s231 user]# cat ca-config.json  {   "signing": {     "default": {       "expiry": "87600h"     },     "profiles": {       "kubernetes": {         "usages": [             "signing",             "key encipherment",             "server auth",             "client auth"         ],         "expiry": "87600h"       }     }   } }  
</blockquote>
<blockquote>
[root@k8s231 user]# cat group-user-xjzw.json  {   "CN": "xjzw",   "hosts": [],   "key": {     "algo": "rsa",     "size": 2048   },   "names": [     {       "C": "CN",       "ST": "BeiJing",       "L": "BeiJing",       "O": "xinjizhiwa-group",       "OU": "System"     }   ] }
</blockquote>
生成用户证书
<blockquote>
[root@k8s231 user]# cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes group-user-xjzw.json | cfssljson -bare xjzw
</blockquote>
<img alt="" height="160" src="https://i-blog.csdnimg.cn/blog_migrate/d8bf297866c2f380db9d2e022e091f6f.png" width="680">
<h4><a name="t40"></a>· xjzw用户加入用户组</h4>
<h5>1，编辑生成kubeconfig用户文件的执行脚本</h5>
<blockquote>
[root@k8s231 user]# ca kubeconfig.sh  -bash: ca: command not found [root@k8s231 user]# cat kubeconfig.sh  #!/bin/bash
kubectl config set-cluster xinjizhiwa-cluster \   --certificate-authority=/etc/kubernetes/pki/ca.crt \   --embed-certs=true \   --server=https://10.0.0.231:6443 \   --kubeconfig=xjzw.kubeconfig   # 设置客户端认证 kubectl config set-credentials xjzw-client \   --client-key=xjzw-key.pem \   --client-certificate=xjzw.pem \   --embed-certs=true \   --kubeconfig=xjzw.kubeconfig
# 设置默认上下文 kubectl config set-context xinjizhiwa-contest \   --cluster=xinjizhiwa-cluster \   --user=xjzw-client \   --kubeconfig=xjzw.kubeconfig
# 设置当前使用的上下文 kubectl config use-context xinjizhiwa-contest --kubeconfig=xjzw.kubeconfig
</blockquote>
<h5>2，执行脚本</h5>
<blockquote>
[root@k8s231 user]# bash kubeconfig.sh
</blockquote>
<h3><a name="t41"></a>5，测试用户是否拥有用户组的权限</h3>
<blockquote>
[root@k8s231 user]# kubectl get pods --kubeconfig=xjzw.kubeconfig
</blockquote>
<img alt="" height="72" src="https://i-blog.csdnimg.cn/blog_migrate/d857ecf8bfaa2f422173fd9cd9f564f9.png" width="683">
总结，只要拥有了用户组，我们创建用户的时候，签名中“O”字段，与用户组名相同，那么创建出来的用户，就拥有了用户组的权限，就不在需要配置角色、绑定了；方便了很多；
<h2><a name="t42"></a>六、基于【服务账号serviceaccount】授权</h2>
        serviceaccount用户，简称sa资源，用于自动化程序的用户创建；
        创建sa用户，就不需要使用证书来创建了，它是k8s集群中的一个资源，sa资源；
<h3><a name="t43"></a>1，创建sa资源</h3>
<h4><a name="t44"></a>· 声明式创建</h4>
<blockquote>
[root@k8s231 sa]# vim sa01.yaml apiVersion: v1 kind: ServiceAccount metadata:    name: py01
</blockquote>
<blockquote>
[root@k8s231 sa]# kubectl apply -f sa01.yaml  serviceaccount/py01 created
</blockquote>
查看sa服务账号
<blockquote>
[root@k8s231 sa]# kubectl get sa NAME      SECRETS   AGE default   1         51d py01      1         4s
</blockquote>
<h4><a name="t45"></a>· 响应式创建</h4>
<blockquote>
[root@k8s231 sa]# kubectl create serviceaccount py02
</blockquote>
查看sa用户
<blockquote>
[root@k8s231 sa]# kubectl get sa NAME      SECRETS   AGE default   1         51d py01      1         2m4s py02      1         4s
</blockquote>
<h3><a name="t46"></a>2，授权python程序对k8s-API的访问权限</h3>
<h4><a name="t47"></a>· 创建用户</h4>
<blockquote>
[root@k8s231 sa]# kubectl create serviceaccount py02
</blockquote>
<h4><a name="t48"></a>· 创建角色</h4>
<blockquote>
[root@k8s231 sa]# vim role.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata:   name: python-role rules: - apiGroups: [""]   resources: ["pods"]   verbs: ["get","watch","list"]
</blockquote>
<blockquote>
[root@k8s231 sa]# kubectl apply -f role.yaml
</blockquote>
<h4><a name="t49"></a>· 绑定sa账号和角色</h4>
<blockquote>
[root@k8s231 sa]# vim bind.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata:   name: python-role-sa subjects: - kind: ServiceAccount    name: py02 roleRef:   kind: Role   name: python-role   apiGroup: rbac.authorization.k8s.io
</blockquote>
<blockquote>
[root@k8s231 sa]# kubectl apply -f bind.yaml
</blockquote>
<h3><a name="t50"></a>3，部署一个python的pod资源</h3>
<blockquote>
[root@k8s231 sa]# vim pod.yaml
apiVersion: apps/v1 kind: Deployment metadata:   name: dm-py spec:   replicas: 2   selector:     matchLabels:       apps: python   template:     metadata:       labels:          apps: python     spec:       #这里就是sa账号，指定sa的名称，请确认该账号是有权限访问K8S集群的哟!       serviceAccountName: py02       containers:       - image: python:3.9.16-alpine3.16         name: py         command:         - tail          - -f         - /etc/hosts
</blockquote>
<blockquote>
[root@k8s231 sa]# kubectl apply -f pod.yaml
</blockquote>
<h3><a name="t51"></a>4，进入pod中执行python代码</h3>
<blockquote>
[root@k8s231 sa]# kubectl exec -it dm-py-64975879c8-b9sxg -- sh / # python --version Python 3.9.16
#写一个python脚本 / # cat > view-k8s-resources.py <<EOF > from kubernetes import client, config >  > with open('/var/run/secrets/kubernetes.io/serviceaccount/token') as f: >      token = f.read() >  > configuration = client.Configuration() > configuration.host = "https://kubernetes"  # APISERVER地址 > configuration.ssl_ca_cert="/var/run/secrets/kubernetes.io/serviceaccount/ca.crt"  # CA证书  > configuration.verify_ssl = True   # 启用证书验证 > configuration.api_key = {"authorization": "Bearer " + token}  # 指定Token字符串 > client.Configuration.set_default(configuration) > apps_api = client.AppsV1Api()  > core_api = client.CoreV1Api()  > try: >   print("###### Deployment列表 ######") >   #列出default命名空间所有deployment名称 >   for dp in apps_api.list_namespaced_deployment("default").items: >     print(dp.metadata.name) > except: >   print("没有权限访问Deployment资源！") >  > try: >   #列出default命名空间所有pod名称 >   print("###### Pod列表 ######") >   for po in core_api.list_namespaced_pod("default").items: >     print(po.metadata.name) > except: >   print("没有权限访问Pod资源！") > EOF / # 
####安装py使用k8s的插件######## / # pip install kubernetes -i https://pypi.tuna.tsinghua.edu.cn/simple/
#执行python脚本
/ # python3 view-k8s-resources.py ###### Deployment列表 ###### 没有权限访问Deployment资源！ ###### Pod列表 ###### dm-py-64975879c8-b9sxg dm-py-64975879c8-z76fp pod-nginx
</blockquote>

至此，关于k8s的RBAC的学习，就此结束；

</div><div><div></div></div>
</div>

资源网站推荐几个_郑州seo关键词推广_巨量广告投放平台_上海最新疫情

最新新闻

热搜词