[root@k8s186 rbac]# vim usertest-csr.json
,"names": [
]}
證書生成
export kube_apiserver=""
設定集群引數
設定客戶端認證引數
設定上下文引數
kubectl config set-context kubernetes --cluster=kubernetes --user=usertest --namespace=test --kubeconfig=usertest.kubeconfig
設定預設上下文
kubectl config use-context kubernetes --kubeconfig=usertest.kubeconfig
mkdir /home/usertest/.kube
cp -f usertest.kubeconfig /home/usertest/.kube/config
kubectl create rolebinding usertest-binding --clusterrole=test --user=usertest --namespace=test
方法二:
(umask 077; openssl genrsa -out gpu.key 2048)
openssl req -new -key gpu.key -out gpu.csr -subj "/cn=gpu"
openssl x509 -in gpu.crt -text -noout
export kube_apiserver=""
kubectl config set-credentials gpu --client-certificate=/root/gpu.crt --client-key=/root/gpu.key --embed-certs=true --kubeconfig=gpu.kubeconfig
kubectl config set-context [email protected] --cluster=cluster.local --user=gpu --namespace=test --kubeconfig=gpu.kubeconfig
kubectl config use-context [email protected] --kubeconfig=gpu.kubeconfig
mkdir /home/gpu/.kube
cp -f gpu.kubeconfig /home/gpu/.kube/config
chown gpu:gpu /home/gpu/.kube/config
kubectl create rolebinding gpu-binding --clusterrole=admin --user=gpu --namespace=test
額外:切換使用者 kubectl config use-context gpu@kubernetes
驗證許可權 kubectl get pods
切換成管理員 kubectl config use-context kubernetes-admin@kubernetes
檢視所有使用者 kubectl config get-contexts
檢視集群角色 kubectl get clusterrole
檢視服務賬戶 kubectl get serviceaccount
k8s新建使用者並授權
在k8s中也有使用者和組的概念,只是不如openshift那麼清晰與好操作。但是原理基本上可以套用,畢竟openshift可以看作是k8s的封裝發行版,可參考openshift使用者與許可權思維導圖。新建乙個k8s使用者大概可以分為以下幾步 具體操作 umask 077 openssl genrsa...
k8s認證與授權
認證用於身份鑑別,而授權則實現許可權分派。k8s以外掛程式化的方式實現了這兩種功能,且分別存在多種可用的外掛程式。另外,它還支援准入控制機制,用於補充授權機制以實現更精細的訪問控制功能。一 訪問控制概述 apiserver作為k8s集群系統的閘道器,是訪問及管理資源物件的唯一入口,餘下所有需要訪問集...
K8s部署prometheus監控K8s細節
prometheus 一些配置檔案可以再github上找到。部署 root kube prometheus manifests 目錄下所有檔案 部署 root kube prometheus manifests setup 目錄下所有檔案 要注意的是自己要建立乙個工作空間 如果報錯執行下面語句 部署...