限制不同的用户操作k8s的资源

微信公众号搜索linux全栈技术 ，即可关注我的公众号，也可通过扫描文章最后的二维码关注，每天都会分享技术文章供大家参考阅读~，拥抱开源，同大家共同进步~

ssl认证

生成一个证书

（1）生成一个私钥

cd /etc/kubernetes/pki/

(umask 077; openssl genrsa -out lucky.key 2048)

（2）生成一个证书请求

openssl req -new -key lucky.key -out lucky.csr -subj "/CN=lucky"

（3）生成一个证书

openssl x509 -req -in lucky.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out lucky.crt -days 3650

在kubeconfig下新增加一个lucky这个用户

（1）把lucky这个用户添加到kubernetes集群中，可以用来认证apiserver的连接

kubectl config set-credentials lucky --client-certificate=./lucky.crt --client-key=./lucky.key --embed-certs=true

（2）在kubeconfig下新增加一个lucky这个账号

kubectl config set-context lucky@kubernetes --cluster=kubernetes --user=lucky

（3）切换账号到lucky，默认没有任何权限

kubectl config use-context lucky@kubernetes

kubectl config use-context kubernetes-admin@kubernetes
#这个是集群用户，有任何权限

把user这个用户通过rolebinding绑定到clusterrole上，授予权限,权限只是在lucky这个名称空间有效

（1）把lucky这个用户通过rolebinding绑定到clusterrole上

kubectl create rolebinding lucky -n lucky --clusterrole=cluster-admin --user=lucky

（2）切换到lucky这个用户

kubectl config use-context lucky@kubernetes

（3）测试是否有权限

kubectl get pods -n lucky

有权限操作这个名称空间

kubectl get pods

没有权限操作其他名称空间

添加一个lucky的普通用户

useradd lucky
cp -ar /root/.kube/ /home/lucky/
chown -R lucky.lucky /home/lucky/
su - lucky

kubectl get pods -n lucky

通过上面可以发现lucky这个用户只能操作lucky名称空间

 

往期精彩文章回顾

kubernetes全栈技术+企业案例演示【带你快速掌握和使用k8s】

kubernetes面试题汇总

DevOps视频和资料免费领取

kubernetes技术分享-可用于企业内部培训

kubernetes系列文章第一篇-k8s基本介绍

kubernetes系列文章第二篇-kubectl

kubernetes集群中部署EFK日志管理系统

Kubernetes中部署MySQL高可用集群

Prometheus+Grafana+Alertmanager搭建全方位的监控告警系统-超详细文档

k8s1.18多master节点高可用集群安装-超详细中文官方文档

Kubernetes Pod健康检查-livenessProbe和readinessProbe

kubernetes pod生命周期管理-postStart和preStop

k8s中蓝绿部署、金丝雀发布、滚动更新汇总

运维常见问题汇总-tomcat篇

运维常见问题汇总-tomcat部署java项目大量close_wait解决方案

关于linux内核参数的调优，你需要知道

jenkins+kubernetes+harbor+gitlab构建企业级devops平台

通过jenkins构建一个多分支的Pipeline项目

kubernetes调度器性能调优

报警神器Alertmanager发送报警到多个渠道

kubernetes挂载ceph rbd和cephfs
在jenkins中连接kubernetes集群

技术交流群

为了大家更快速的学习知识，掌握技术，随时沟通交流问题，特组建了技术交流群，大家在群里可以分享自己的技术栈，抛出日常问题，群里会有很多大佬及时解答，这样我们就会结识很多志同道合的人，长按下图可加我微信，备注运维或者k8s或者devops即可进群，让我们共同努力，向着美好的未来出发吧~~~，想要免费获取各个版本的k8s高可用集群的安装视频或者其他的免费视频，也可进群获取哈~~     

              

                              扫码加群????

微信：justso656

微信公众号

               长按指纹关注公众号????

                                       点击在看少个 bug????