官网: https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/
https://kubernetes.io/zh/docs/concepts/cluster-administration/certificates/
**在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式**
Kubernetes: 认证、授权
```
API server:
subject --> action --> object
认证:token,tls,user/password
账号:UserAccount, ServiceAccount
授权:RBAC
role, rolebinding
clusterrole, clusterrolebinding
rolebinding, clusterrolebinding:
subject:
user
group
serviceaccount
role:
role, clusterrole
object:
resouce group
resource
non-resource url
action:get, list, watch, patch, delete, deletecollection, ...
```
任何客户端经apiserver做操作之前得先完成认证-->授权检查-->准入控制()
RBAC----基于角色的访问控制机制,只有许可授权
客户端对apiserver发起请求
user:username,uid
group:
extra:
API
Request path
例子http://172.168.0.6:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy/对这个增删改查
HTTP request verb:
get,post,put,delete
API requets verb:
get ,list,create,update,patch,watch,proxy,delete......
---
k8s集群**有2类认证值**的用户账号
useraccount现实中的用户
serviceaccount---pod等应用程序想访问当前k8s集群的apiserver时里面要用到的认证信息。
kubectl create serviceaccount mysa 新建个专用账号。
`kubectl create serviceaccount mysa -o yaml --dry-run` 干跑不执行,看看输出的格式
**导出POD配置信息**
`kubectl get pods -n crm bw-account-75f4c7db8f-hfl5l -o yaml --export`
**kubeconfig 是apiserver客户端连入apiserver时**
`kubectl confg view`
```
apiVersion: v1
clusters:
- cluster:集群列表
certificate-authority-data: DATA+OMITTED
server: https://192.168.5.242:6443
name: kubernetes
contexts:
- context:上下文列表
cluster: kubernetes
user: kubernetes-admin
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes当前上下文
kind: Config
preferences: {}
users:
- name: kubernetes-admin用户列表
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
```
**新建一个user**连接apiserver的帐号
1.私钥
`cd /etc/kubernetes/pki/`
`(umask 077; openssl genrsa -out tony.key 2048)`
2.生成csr签名请求文件
`openssl req -new -key tony.key -out tony.csr -subj "/CN=tony"`
3.用k8s的CA签证,使用 CA 证书及CA密钥 对请求签发证书进行签发,生成 x509证书
`openssl x509 -req -in tony.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out tony.crt -days 365`**默认都是一年**
4.验证证书
`openssl x509 -in tony.crt -text -noout`
5. 新建用户和上下文
`kubectl config set-credentials tony --client-certificate=./tony.crt --client-key=./tony.key --embed-certs=true`
`kubectl config set-context tony@kubernetes --cluster=kubernetes --user=tony`
7. 绑定权限
`kubectl create rolebinding crm --clusterrole=cluster-admin --user=tony`
8. 拷贝.kube/ 到普通用户tony
`cp -rp /root/.kube/ /home/tony/`,`chown -R tony.tony /home/tony/`
6. 切换用户
`kubectl config use-context tony@kubernetes`
9.验证只对crm名称空间有所有权限。
**授权插件**:Node,ABAC,RBAC,Webhook
RBAC:Role-based AC 定义个角色,角色上绑定可以进行哪些操作
角色(role)
许可()
role:
operations
objects
rolebinding:
user account OR service account
role
**集群级别和名称空间级别**
clusterrole,clusterrolebinding 集群级别
Role,RoleBinding 名称空间级别
RoleBinding绑定clusterrole,也是名称空间级别的,这样就不用建多个role
`kubectl create role --help`
`kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yaml > pods-reader.yaml`
`kubectl create rolebinding --help`
`kubectl create rolebinding magedu-read-pods --role=pods-reader --user=magedu --dry-run - o yaml > readpods.yaml`
```
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: pods-reader
namespace: default
rules:
- apiGroups: 能对哪些api组内的操作
- ""
resources: 能对哪些资源进行操作
- configmaps
- pods
- secrets
- namespaces
verbs: 能做什么操作
- get
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
name: nginx-ingress-clusterrole
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
rules:
- apiGroups: 能对哪些api组内的操作
- ""
resources: 能对哪些资源进行操作
- configmaps
- endpoints
- nodes
- pods
- secrets
verbs: 能做什么操作
- list
- watch
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
name: nginx-ingress-role-nisa-binding
namespace: ingress-nginx
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
roleRef: 引用那个role
apiGroup: rbac.authorization.k8s.io哪一类资源
kind: Role
name: nginx-ingress-role
subjects:
- kind: ServiceAccount
name: nginx-ingress-serviceaccount授权给哪个用户
namespace: ingress-nginx
```
kubectl describe rolebinding nginx-ingress-role-nisa-binding
*****
**拉取私有仓库镜像,认证的两种方式**
认证到pod或认证到serviceAccount
在Deployment中,要拉取私有仓库镜像,就需要认证,建立一个secret,认证到pod中
imagePullSecrets:
- name: pull-secret
但是直接认证到pod的secret不太安全,可以考虑使用serviceAccountName(而serviceAccount可以附带认证到私有仓库的secret信息),定义imagePullSecrets到serviceaccount中,再把serviceAccount定义到pod中,这样我们的pod配置清单文件信息就不会泄漏出我们用的什么相关认证信息
- 笔记
- shell
- 如何才能学好Shell编程之“老鸟”经验谈
- scripts
- 迁移脚本
- centos_install.sh
- https.support.lwork.com.conf
- newbroker.default.lwork.com.conf
- bwnginx.conf
- twnginx.conf
- pre.default.lwork.com.conf
- zabbix_agentInstall
- getcc.sh
- shell脚本调试
- shell学习
- 第一章shell脚本入门
- shell脚本开发的基本规范及习惯
- 脚本规范示例
- 第三章变量的核心知识与实践
- 第四章变量知识进阶和实践
- 4.3 shell变量子串知识及实践
- 4.4 shell特殊扩展变量的知识与实践
- 第五章 变量的数值计算实践
- 第六章 shell脚本的条件测试
- 第七章 if条件的知识与实践
- 第8章 shell函数的基础实践
- 第13章 Shell数组的应用实践
- 经验
- for和while读行的区别
- 一个文件取2个参数
- 重定向正确及错误输出
- linux常用命令
- awk
- 详解
- 例子
- 内置变量
- 实例2
- 实例3
- find/grep
- iostat
- java启动脚本
- ln -s
- nmap
- passwd
- sed
- 详解
- 例子
- ssh-copy-id
- vim
- linux systemd详解
- 常用命令实列
- ss
- rz,sz小文件上传下载
- 文件的合并,排序和分割
- sort,uniq
- sort
- uniq
- cut
- paste
- tr
- curl
- cpu
- scp
- 批量添加注释
- nc
- yarn
- lsof
- tar
- cat
- openssl自签名证书
- pwgen
- logrotate
- 中间件
- mongo
- mongo配置文件详解
- mongo安装
- mongo常用命令
- mongo导入导出
- 导出数据的mongojs
- mongo shell
- mongo异常关闭
- mongo的缺点
- mysql
- 安装
- Gitd
- 主从同步
- 常用命令
- 日志清理
- 连接数,最大并发数,超时
- 错误
- 错误1872
- 错误1236
- 错误1-gitd主从报错
- 一些优化
- 服务器硬件优化
- 编译安装
- mysql配置文件优化
- 根据status优化
- 优化思路
- index
- 查询数据库大小
- ubuntu18.04mysql启动脚本
- pure-ftpd
- rabbitmq
- consul
- redis
- 安装
- 配置
- redis-sentinel
- 常用命令
- supervisor启动redis
- freeipa
- ftp
- 错误530根本原因和解决方法
- vsftp
- sftp
- JDK
- java参数
- zabbix
- 安装
- nginx
- 基础
- 1.基础web配置
- 2.nginx的日志格式
- 3.Nginx的请求限制
- 4.Nginx访问控制
- 进阶
- 1.静态资源web服务
- 2.Nginx作为代理服务
- 3.负载均衡
- 4.rewrite模块
- 5.Geoip
- location与proxy_pass
- proxy_set_header参数
- add_header
- 安装
- 4XX5XX重定向
- Nginx resolver explained
- 关于防止自己网页内容被别人iframe的问题
- nginx全局变量
- nginx错误代码
- 平滑升级nginx
- nginx相关资料网站
- nginx配置下载目录
- 反向代理并发数
- php
- 安装centos6,7
- xtrabackup
- apache
- 常用工具
- SSL证书在线工具SSL
- wordpress
- kafka
- nssm
- GoCD
- gocd简介
- gocd一些概念
- gocd客户端环境变量
- 建立一个piplines
- gocd添加nodejs
- supervisor
- mongo,mysql,hadoop比较
- screen
- python
- minio-私有存储桶
- kubernetes
- YAML格式简单说明
- k8s集群常用命令
- 概念
- k8s组件
- 对象
- workloads
- pods
- overview
- pod lifecycle
- init containers
- env向容器暴露pod信息
- controllers
- rs
- deployments
- daemonset
- StatefulSet
- service
- ingress
- volumes及configmap
- pv和pvc
- serviceaccount及认证
- dashboard及分级授权
- flannel&calico
- 调度器,预选策略及优先函数
- 资源指标API及自定义指标API
- helm
- k8s最佳实践
- 配置kubelet
- 简单命令定位问题
- k8s中日志收集-1
- k8s中日志收集-2
- lxcfs
- v1.24以后镜像问题
- 单控制节点集群v1.24以后适用
- 单控制节点集群v1.24前适用
- K8s.1.11.x阿里云安装HA版
- 国内k8s安装指定版本
- 发布及回滚
- 检查yaml文件格式
- pod分配到指定节点
- k8s跨集群访问
- 在docker中查看对应k8s容器日志
- cert-manager
- 问题定位技巧:容器内抓包
- 为容器设置启动时要执行的命令及其入参
- deploy.yaml文件实例
- kube/config
- 系统守护进程预留资源
- k8s集群证书pki过期处理
- pod跑java时内存的运用
- 从外部访问k8s中的pod
- HPA实战
- Docker
- Docker常用命令
- 基本概念
- 镜像
- 容器
- 仓库
- 安装 Docker
- Ubuntu
- Centos
- 镜像加速器
- 使用镜像
- 获取镜像
- 使用 Dockerfile 定制镜像
- Dockerfile 指令详解
- COPY 复制文件
- CMD 容器启动命令
- ENTRYPOINT 入口点
- ENV
- 其他命令
- 参考文档
- Alpine制作JDK8镜像
- Dockerfile示例
- 访问仓库
- nexus
- 最佳实践
- 镜像删除
- 清理docker磁盘空间
- docker容器日志管理
- 镜像基础上构建镜像
- git
- 公钥私钥免登
- 常用命令
- git pull
- git升级
- jenkins
- jenkins使用git
- 设置构建作业
- General
- Source Code Management
- Build Traggers
- Build Environment
- Build
- Post-build Actions
- 高级构建
- 参数化构建作业
- prometheus
- 监控原则
- 第一章 采集数据
- HPA
- meterics-server
- custom metrics
- kube-state-metrics
- node-exporter
- 第二章 prometheus
- prometheus概述
- prometheus基本架构
- prometheus安装
- prometheus的配置和服务发现
- scrape_configs
- kubernetes_sd_config
- relabel_config
- relabel_config例子
- 服务发现配置
- alertmanager_config
- alerting
- configuration
- route
- receivers
- inhibits_rules
- 第三章 展示与告警
- 第四章 PromQL
- rate,irate和delta的区别
- prometheus-operator
- maven
- maven命令
- maven仓库配置
- openstack
- 网络基础
- 计算机网络原理
- 一个URL请求的过程
- 2.记录
- 3.数据链路层
- 4.网络层
- 网络常用命令
- 命令
- iptables
- nc
- ipset
- mtr
- ss
- lsof
- ip
- 抓包
- tcpdump
- 网络排错与观察
- netstat
- traceroute
- dig与nslookup
- 计算机网络协议
- 负载均衡总结性说明
- NAT
- Tinc
- ubuntu
- ubuntu-var-log-下各个日志文件
- apt和dpkg
- systemctl详解
- 关闭系统更新,有些更新可能影响运行的程序
- ubuntu常用命令
- 基础工具journalctl命令
- za
- 恢复阿里云物理备份
- 域名证书申请和更换
- 正则表达式常用
- 服务器上排查问题得头5分钟
- windows
- winserver关闭事件跟踪程序
- windows常用命令
- win10企业LTSC版激活
- windows通过网卡只开80端口
- debug-tools
- win10-1903及以上版本Realtek高清晰音频管理器
- 彻底解决WPS Office Expansion tool弹出问题
- services延迟启动时间修改
- windows服务器定时重启
- windows sc命令
- 防火墙概述
- iptables
- 简单说明
- 例子
- 项目一
- DevOps简介
- 项目介绍
- 高并发内核优化
- gitlab
- gitlab社区和企业版本区别
- gitlab社区版安装
- gitlab指定版本安装
- gitlab安全设置
- gitlab的备份和恢复
- gitlab容器化安装
- jenkins
- jenkins安装
- ubuntu 16.04 install jenkins
- ubuntu 20.04 install jenkins
- jenkins使用git
- jenkins配置第一个项目
- jenkins发布及制作jar镜像
- jenkins安全策略
- gocd
- gocd安装
- k8s中gocd的server和agent模板
- gocd配置第一个项目
- 脚本
- gocd+ldap
- nexus
- 安装和配置
- freeipa
- 介绍
- 安装
- freeipa集成ocserv
- VPN
- 原理
- vpn部署ocserv
- k8s
- k8s高可用集群
- DNSmasq
- SNIproxy
- Tinc
- prometheus
- 简介
- helm安装prometheus
- 采集数据概览
- 采集数据node-exporter
- 采集数据kube-state-metrics
- 采集数据cadvisor和apiservers
- 指标汇总展示
- 监控
- nginx+lua+waf
- 项目二
- 简介
- nacos
- 简介
- nacos配置管理功能
- tengine
- java
- java参数说明及优化
- github快速访问
- amd和arm区别
- AWS
- 负载均衡ALB