kubernetes集群配置serviceaccount;Service Account和RBAC授权
https://blog.51cto.com/ylw6006/2067326
Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种:
Opaque(default): 任意字符串
kubernetes.io/service-account-token: 作用于ServiceAccount
kubernetes.io/dockercfg: 作用于Docker registry,用户下载docker镜像认证使用。
本文将介绍在kubernetes集群中配置serviceaccount和secret,可以让kubernetes使用私有仓库,并支持nginx basic认证。由于我们采用的是rpm包方式安装的kubernetes集群,默认没有ca.crt、kubecfg.crt kubecfg.key 、server.cert 、server.key这些文件,需要下载源码生成。
一、使用工具生成key文件
# mkdir git
# cd git/
# git clone https://github.com/kubernetes/kubernetes科学上网方式下载easy-rsa.tar.gz,下载地址在make-ca-cert.sh脚本中可以找到,将文件放到~/kube目录下
# ls ~/kube
easy-rsa.tar.gz
# cd /root/git/kubernetes/
# sh cluster/centos/make-ca-cert.sh 192.168.115.5
# ls /srv/kubernetes/
ca.crt kubecfg.crt kubecfg.key server.cert server.key
# chown -R kube:kube /srv/kubernetes/*将这些文件发送到vm2主机的相同目录
# chown -R kube:kube /srv/kubernetes/*
# scp -rp /srv/ root@vm2:/二、修改配置文件
# grep -v '^#' /etc/kubernetes/apiserver |grep -v '^$'
KUBE_API_ADDRESS="--insecure-bind-address=192.168.115.5"
KUBE_ETCD_SERVERS="--etcd-servers=http://192.168.115.5:2379"
KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16"
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota"
KUBE_API_ARGS="--storage-backend=etcd2 --secure-port=6443 --client-ca-file=/srv/kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls-private-key-file=/srv/kubernetes/server.key"# grep -v '^#' /etc/kubernetes/controller-manager |grep -v '^$'
KUBE_CONTROLLER_MANAGER_ARGS="--root-ca-file=/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes/server.key"三、重启相关服务
Master:
# systemctl restart kube-apiserver
# systemctl restart kube-controller-manager
# systemctl restart kube-scheduler
Slave:
# systemctl restart kubelet
# systemctl restart kube-proxy
# kubectl get secret
# kubectl describe secret default-token-6pddn四、通过配置secret,让kubernetes可以从私有仓库中拉取镜像
# kubectl create secret docker-registry regsecret \
--docker-server=registry.fjhb.cn \
--docker-username=ylw \
--docker-password=123 \
[email protected]
在yaml文件sepc节加入imagePullSecrets,指定使用创建好的secret
# kubectl create -f frontend-controller.yaml通过参考kubernetes的官方文档,并不能解决实际问题
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
nginx日志依然报401认证错误
我们知道使用docker pull去私有仓库拉取镜像,需要先使用docker login登陆一下私有仓库,而login执行的操作,实际上就是在用户的家目录写入了.docker/config.json文件。将此文件做一个软链接到 /var/lib/kubelet/.docker/就可以解决此问题了。当配置了软连接后就不需要在yaml文件中引用前面的创建的secret了。
# cat /root/.docker/config.json
# ln -s /root/.docker/ /var/lib/kubelet/.docker/# kubectl create -f frontend-controller.yamlhttps://www.cnblogs.com/zhangb8042/p/10199493.html
一、介绍
Service Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
二、创建Service Account
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
|
创建k8s账号及RBAC授权
一、介绍
在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。在RABC API中,通过如下的步骤进行授权:1)定义角色:在定义角色时会指定此角色对于资源的访问控制的规则;2)绑定角色:将主体与角色进行绑定,对用户进行访问授权。
二、创建k8s账号与RBAC授权使用
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 |
|
配置一个新账号和配置文件并授权
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
|