普通用户授权kubernetes集群方法
2020-05-25 本文已影响0人
_fishman
---
为不同用户创建不同权限的k8s账号,此处为一个只有namespace下pod及日志查看权限的用户配置方法。
集群端如下操作:
-
创建用户证书私钥
openssl genrsa -out username.key 2048
-
创建用户证书请求(CN为用户名,O为组名)
openssl req -new -key username.key -out username.csr -subj "/CN=username/O=projectName"
-
创建用户证书(需要k8s集群的ca证书和私钥)
证书存放路径: /etc/kubernetes/ssl
openssl x509 -req -in username.csr -CA k8s.pem -CAkey k8s-key.pem -CAcreateserial -out username.crt -days 3650
-
创建一个k8s用户,使用上一步生成的证书认证登陆
kubectl config set-credentials username --client-certificate=username.crt --client-key=username.key
-
创建一个k8s的角色(role.yaml)
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: username-role namespace: default rules: - apiGroups: ["", "apps/v1"] #指定能访问的api resources: ["deployments", "pods", "pods/log"] #指定能访问的资源类型 verbs: [""] #对指定资源的操作权限 - apiGroups: ["v1"] resources: ["deployments"] verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
然后执行:
kubectl create -f role.yaml
-
把新建的用户绑定到上面一步创建的角色上(roleBinding.yaml)
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: user-rolebinding namespace: default subjects: - kind: User name: username #创建的用户名 apiGroup: "" roleRef: kind: Role name: username-role #创建的角色 apiGroup: ""
然后执行:
kubectl create -f roleBinding.yaml
客户端操作:
-
拷贝k8s集群的ca.pem,username.crt,username.key到客户端,在客户端安装kubectl
kubectl config set-cluster 集群名 --server=https://集群kube-apiserver:6443 --certificate-authority=ca.pem kubectl config set-credentials username --certificate-authority=ca.pem --client-key=username.key --client-certificate=username.crt kubectl config set-context default --cluster=集群名 --namespace=default --user=username kubectl config use-context default
-
然后就可以在客户端查看应用的日志了
kubectl --context=amazon3 -n namespace logs -f pod_name