通过系统配置文件kubeconfig文件实现权限的精细化分配
一.获取k8s apiserver 地址
cat /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl -n planck describe secret $(kubectl get secret -n planck | grep lishanbin | awk '{print $1}')
k8s的apiserver地址为:https://xxx:6443
token=“xxx”
二.集群的ca证书生成
cfssl 安装
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@localhost etcd]# mv cfssl_linux-amd64 /usr/bin/cfssl
cfssljson 安装
[root@localhost etcd]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@localhost etcd]# mv cfssljson_linux-amd64 /usr/bin/cfssljson
生产证书
[root@localhost etcd]# chmod +x /usr/bin/{cfssl,cfssljson}
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
三.创建kubeconfig文件
1.设置集群参数
config文件引入集群ca证书,这里的set-cluster 可以任意设置,想叫什么集群名字都可以,我这里定义为mykubernetes,kubeconfig文件名称也随意定义,我这里定义为test.kubeconfig,此命令执行后会在当前目录生成test.kubeconfig这个文件:
KUBE_APISERVER="https://kube-apiserver.allenjol.cn"
SECRET_TOKEN="xxxxxx"
kubectl config set-cluster mykubernetes \
--certificate-authority=/mnt/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=test.kubeconfig
定义的用户名称是test,当然,用户名称可以随意定义。里面的token就已经带了前面建立的sa的权限—查看dev这个namespace下的pod的权限:
kubectl config set-credentials "test" \
--token=${SECRET_TOKEN} \
--kubeconfig=test.kubeconfig
定义上下文名称
kubectl config set-context quanxianfenpei \
--cluster=mykubernetes \
--user=test \
--kubeconfig=test.kubeconfig
查看(发现没有)
kubectl config get-contexts
切换上下文,其实这一步就是将ca证书和token关联起来并写在了这个新定义的kubeconfig文件内。文章来源:https://www.toymoban.com/news/detail-643094.html
验证:文章来源地址https://www.toymoban.com/news/detail-643094.html
kubectl create deploy nginx --image=nginx -n saas
kubectl --kubeconfig=/root/cert/test.kubeconfig delete pod nginx-6799fc88d8-xp76x -n planck --insecure-skip-tls-verify
到了这里,关于k8s通过系统配置文件kubeconfig文件实现权限的精细化分配的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
