k8s建立指定用户只对指定namesapce下的资源有操做权限

时间  2020-05-23
标签 k8s 建立 指定 用户 只对 namesapce 资源 权限 繁體版
原文   原文链接

目标:devuser用户只对namespace是dev下的资源有操做权限linux

1、基础配置设置
一、首先useradd建立一个devuser用户,并修改密码:
使用devuser执行kubectl get pod命令不会成功,由于devuser如今对任何一个namespace下的资源都没有权限
二、建立一个dev的namespace
k8s建立指定用户只对指定namesapce下的资源有操做权限
2、k8s config 文件生成
一、建立用来生成密钥的json文件
cat /k8s/cert/devuser.json
k8s建立指定用户只对指定namesapce下的资源有操做权限json

{
  "CN": "devuser",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
     "C": "CN",
     "ST": "ShenZhen",
     "L": "ShenZhen",
     "O": "k8s",
     "OU": "System"
    }
]
}

二、获取生成密钥的命令文件:
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
指定密钥文件,生成密钥(此步命令尽可能在/etc/kubernetes/pki路径下执行,由于该路径下自己就是存放k8s认证相关的文件)
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /k8s/cert/devuser.json | cfssljson -bare devuser
k8s建立指定用户只对指定namesapce下的资源有操做权限
执行完成,已经有了devuser的密钥文件api

k8s建立指定用户只对指定namesapce下的资源有操做权限
声明一下apiserver环境变量:
export KUBE_APISERVER="https://10.18.6.127:6443"
三、设置集群参数:ide

[root@kb-master cert]# kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=devuser.kubeconfig

k8s建立指定用户只对指定namesapce下的资源有操做权限
四、设置客户端认证参数:spa

[root@kb-master cert]# kubectl config set-credentials devuser \
--client-certificate=/etc/kubernetes/pki/devuser.pem  \
--client-key=/etc/kubernetes/pki/devuser-key.pem \
--embed-certs=true \
--kubeconfig=devuser.kubeconfig

五、设置上下文参数3d

[root@kb-master cert]# kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=devuser \
--namespace=dev \
--kubeconfig=devuser.kubeconfig

六、进行RoleBinding角色绑定code

kubectl create rolebinding devuser-admin-rolebinding(rolebinding的名字) --clusterrole=admin(clusterrole的名字,admin在k8s全部namespace下都有最高权限) --user=devuser(将admin的权限赋予devuser用户) --namespace=dev(范围是dev这个namespace下) 即devserver

k8s建立指定用户只对指定namesapce下的资源有操做权限
七、将devuser.kubeconfig复制到/home/devuser/.kube目录下blog

cp devuser.kubeconfig  /home/devuser/.kube/config
chown devuser.devuser devuser.kubeconfig

八、在dev用户下切换上下文
k8s建立指定用户只对指定namesapce下的资源有操做权限
再查看pod资源就不会报错了,可是目前dev的namespace下没有任何pod在运行
k8s建立指定用户只对指定namesapce下的资源有操做权限
使用devuser建立deployment
k8s建立指定用户只对指定namesapce下的资源有操做权限
使用root用户查看pod信息,发现pod都是dev命名空间下的ssl

k8s建立指定用户只对指定namesapce下的资源有操做权限
说明devuser的kubectl命令默认只在dev命名空间下生效,也只能在dev命名空间下有效

这在企业中对于权限的把控仍是颇有必要的

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程