k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限

2023-10-26

k8s–基础–23.7–认证-授权-准入控制–限制用户操作k8s资源的权限

1、生成一个证书

1.1、生成一个私钥

cd /etc/kubernetes/pki/
(umask 077; openssl genrsa -out lucky.key 2048)

1.2、生成一个证书请求

openssl req -new -key lucky.key -out lucky.csr -subj "/CN=lucky"

1.3、生成一个证书

openssl x509 -req -in lucky.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out lucky.crt -days 3650

在这里插入图片描述

2、在kubeconfig下新增加一个lucky这个用户

2.1、把lucky这个用户添加到kubernetes集群中，可以用来认证apiserver的连接

kubectl config set-credentials lucky --client-certificate=./lucky.crt --client-key=./lucky.key --embed-certs=true

2.2、在kubeconfig下新增加一个lucky这个账号

kubectl config set-context lucky@kubernetes --cluster=kubernetes --user=lucky

2.3、切换账号到lucky，默认没有任何权限

# 切换账号到lucky，默认没有任何权限
kubectl config use-context lucky@kubernetes

# 切换账号到 集群用户，有任何权限(因为后面操作需要这个用户权限)
kubectl config use-context kubernetes-admin@kubernetes

在这里插入图片描述

3、把 lucky用户通过rolebinding绑定到clusterrole上，授予权限,权限只是在lucky这个名称空间有效

3.1、把lucky这个用户通过rolebinding绑定到clusterrole上

kubectl create rolebinding lucky -n lucky --clusterrole=cluster-admin --user=lucky

3.2、切换到lucky这个用户

kubectl config use-context lucky@kubernetes

3.3、测试是否有权限

# 有权限操作这个名称空间
kubectl get pods -n lucky

# 没有权限操作其他名称空间
kubectl get pods

在这里插入图片描述

4、添加一个lucky的普通用户

# 添加用户
useradd lucky

# 拷贝kube的权限
cp -ar /root/.kube/ /home/lucky/

# 修改用户和用户组
chown -R lucky.lucky /home/lucky/

# 切换用户
su - lucky

# 查看pods资源
kubectl get pods -n lucky

在这里插入图片描述

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

k8s

Kubernetes

Docker

容器

k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限的相关文章

docker run -e 的环境变量

这是我的 Dockerfile FROM ubuntu 16 04 RUN apt get update RUN apt get install y default jdk ADD sample docker 1 0 SNAPSHOT ja
无法将 docker 映像推送到本地 OpenShift Origin 注册表

目标是能够在我的笔记本电脑上获取 Docker 映像并将其推送到 OpenShift Origin 映像注册表由oc cluster up 进行本地开发目前尚不清楚我是否做错了什么或者 Docker 或 OpenShift Origi
来自守护程序的错误响应：加入会话密钥环：创建会话密钥：超出磁盘配额

我尝试在我的服务器上安装 docker 使用本教程 https docs docker com install linux docker ce ubuntu 我想远程运行 docker 镜像并使用 portainer Web 界面来管理一切
Docker Hub API v2 令牌身份验证问题

目前我正在开发一个非常轻量级版本的 Docker 容器编排器并且我必须能够从公共 Docker Hub 注册表获取图像摘要我想使用 Docker Registry API v2 来实现此目的我正在尝试使用以下 API 调用获取授权令
将conf文件嵌入到helm图表中

我是新掌舵者我正在构建一个包含大量conf文件的splunk helm图表我目前在 configmap 中使用类似的东西 apiVersion v1 kind ConfigMap metadata name splunk master
docker repo 解决映像构建期间的错误错误（检查存储库文件）

我在构建 docker 映像时遇到问题并尝试了不同的 DNS 选项但似乎运气不佳 Docker版本1 9 1 构建a34a1d5 回购还活着为了运行我使用的容器docker run dns 192 168 1 1 d ti name
经常提交 docker 容器是一个好习惯吗？

我在里面使用WebSphere Liberty 由于 WebSphere Liberty 需要频繁的 xml 编辑这对于 Dockerfile 命令来说是不可能的我必须不时地对容器进行 docker commit 以便其他人可以使用我的
如何在“Docker for Windows”中启用docker远程API

I have 适用于 Windows 的 Docker 桌面1 12 1 stable 内部版本 7135 安装在我的 Windows 10 计算机上我想使用以下方式访问 docker远程API https docs docker com
docker 中的 php Curl 冲突 CURLOPT_FILE 和 CURLOPT_RETURNTRANSFER

当我使用curl时CURLOPT FILE and CURLOPT RETURNTRANSFER选项文件为空没有任何curl错误 fp fopen saveTo w ch curl init fileUrl curl setopt ch
非生产模式下的 Elasticsearch docker 容器可消除 vm.max_map_count=262144 要求

如何配置 elasticsearch docker 容器 elasticsearch 7 5 0 以使用更少的资源并在非生产模式下运行我想在 Jenkins 和我的桌面上运行容器并且满足以下要求这个弹性文档 https www elas
有没有计算Docker容器开销的公式？

假设我想同时运行多个 Docker 容器我可以使用任何公式来提前了解单个 Docker 主机可以同时运行多少个容器吗即有多少 CPU 内存等我必须考虑容器本身吗它本身不是一个公式但您可以通过检查 Linux 控制组来收集有关容器
我如何知道 k8s 中的网络策略覆盖了哪些 pod

我有一个用例我想检查网络策略覆盖哪些 pod 现在我的重点只是 k8s 生成的网络策略做到这一点最简单的方法是什么我知道我们可以检查每个网络策略并从那里过滤掉 pod 但是网络策略可以有多种使用 pod 过滤的方式我不确定是否有办法
如何检查Docker中是否安装了python包？

我使用Dockerfile成功构建了一个容器但是我的代码在容器中不起作用如果我手动安装所有软件包它确实有效我假设我搞砸了一些导致 docker 没有正确安装软件包的事情所以我想检查Docker容器中是否安装了python包最
无法从外部访问在端口 4567 上的 Docker 容器中运行的应用程序

使用重新创建设置所需的所有文件更新帖子还是同样的问题无法访问容器中运行的服务 FROM python 3 RUN apt get update RUN apt get install y ruby rubygems RUN gem in
如何使用 Docker 和 DigitalOcean Spaces 部署 TensorFlow Serving

如何配置 TensorFlow Serving 以使用存储在 DigitalOcean Spaces 中的文件重要的是解决方案提供对这两个配置的访问and模型文件提供对数据的非公开访问我已经配置了一个名为your bucket na
如何使用 Fabric8 maven 插件使用环境变量中的值指定 spring.profiles.active 参数？

我有一个定义 ENVIRONMENT 参数的 K8s 配置映射该值使用 src fabric8 deployment yml 中的摘录作为环境变量安装在部署 yaml 上 spec template spec containers env
如何在 kubernetes 上设置 hostPath 卷权限？

似乎默认情况下 Kubernetes 创建一个 hostPath 卷755对目录的权限是否可以通过 a 将这个值设置为其他值volume规格与手动执行操作相反chmod在相关主机目录上 initContainers name volum
无法从 rollupOptions 自动确定入口点

我正在尝试对使用 vite 和 vue3 创建的前端应用程序进行 dockerize 它不作为容器工作这是错误响应无法从 rollupOptions 或 html 文件自动确定入口点并且没有显式的 OptimizeDeps inclu
无法在docker容器中安装npm？

我正在数字海洋服务器的 Docker 平台上部署一个简单的 Node js 应用程序包 json name docker centos hello private true version 0 0 1 description Node j
为什么 iconv 在 php:7.4-fpm-alpine docker 中返回空字符串

给出以下代码

随机推荐

element ui 中table表格刷新、input输入框添加enter触发搜索、连续点击的处理办法

8 25小结 1 table表格刷新 elementy ui有一个v loading 我们可以给它绑定一个布尔值 truer就是转圈圈 false就是停止转圈圈在刷新按钮上绑定一个事件来控制这个布尔值的改变但是需要加一个定时器才能看出来
spring-boot-maven-plugin爆红解决方案，亲测有效

报错信息提示如下 Plugin org springframework boot spring boot maven plugin not found 我使用idea中的spring initialer 来创建的 maven项目但是在下载
揭秘——STL空间配置器

为什么要有空间配置器呢这主要是从两个方面来考虑的 1 小块内存带来的内存碎片问题单从分配的角度来看由于频繁分配释放小块内存容易在堆中造成外碎片极端情况下就是堆中空闲的内存总量满足一个请求但是这些空闲的块都不连续导致任何一个单独
java中常见的异常类型

Throwable 类是 Java 语言中所有错误或异常的超类只有当对象是此类或其子类之一的实例时才能通过 Java 虚拟机或者 Java throw 语句抛出类似地只有此类或其子类之一才可以是 catch 子句中的参数类型两
基于MATLAB的多聚类相位展开算法实现

基于MATLAB的多聚类相位展开算法实现相位展开是一种常见的信号处理算法用于从相位差模糊的信号中恢复出准确的相位信息多聚类相位展开算法是相位展开的一种改进方法能够有效处理多个相位聚类的情况本文将介绍如何使用MATLAB实现多聚类相
【转载】Parameter must be a descendant of this view问题的解决方案

转载原文链接为 http www cnblogs com monodin p 3675040 html 关于ViewFlow和GridView嵌套导致Parameter must be a descendant ofthis view问题
arcgis图不见了_arcgis的左边图层边栏不见了怎么弄出来

1 要加载使用空间分析模块首先得在ArcMap中执行菜单命令在扩展模块管理窗口中将空间分析 spatial analyst 前的检查框打勾然后在ArcMap 工具栏的空白区域点右键在出现的右键菜单中找到空间分析 spati
maven springmvc hibernate shiro 集成

最近项目需要进行高要求的Web权限管理在比较Spring security和Shiro之后由于Shiro更大的灵活度和更强的配置性选择了Shiro 不过官方的文档写的对于集成spring不太清楚尤其是Realm怎样实现因此在查阅一系
pandas安装完成后，报错：ImportError

安装完pandas后在使用时发现需要更新numpy 系统自带的版本是1 12 1 执行 pip install U numpy 安装成功 Traceback most recent call last File D Anaconda3
vue3 实现点击可左右滑动

具体代码如下
WINDOWS的远程桌面。

http baike baidu com view 372045 htm 1 远程桌面的功能远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的在WINDOWS 2000 SERVER中他不是默认安装的该组件
Flutter 页面跳转和数据传值 pop回指定页面(路由实践)

flutter搭建app 感觉相对简化了很多布局核心就是万事皆widget 在之前我们不管是iOS 安卓原生还是rn 我们在页面跳转和回转我们都要对页面进行管理从iOS 到安卓到rn 路由被强调话了 web前端的一些重要设计思想被
.NET6用起来-Autofac

本文的主角是Autofac 它是一款非常奈斯的依赖注入框架暂时先不讨论先分享几个名词 DI 依赖注入 IOC 控制反转 IOC容器通过Demo 认识这些名词 Demo很简单创建一个Asp NET Core项目新增一个用户服务类 U
matplotlib中的3D绘图警告解决：MatplotlibDeprecationWarning: Axes3D(fig) adding itself to the figure

在用matplotlib绘图中 ax Axes3D fig 我们得到了下面的警告 MatplotlibDeprecationWarning Axes3D fig adding itself to the figure is deprecat
物联网安全技术提高区块链应用数据的可信度

简介物联网设备可信上链物联网设备可信上链为物联网设备上链提供可信的一站式多层级的安全服务与阿里云BaaS等企业级区块链服务无缝对接相关产品了解TEE 安全能力密钥全生命周期管理和安全计算支持企业级区块链 HyperLedg
AWB常见面试问题

1 有没有处理过生产线问题如何处理的 2 AWB客观和主观的整体调试流程常用的机制有哪些 3 色差不过该如何解决 4 处理过那些严重偏色问题解决思路是什么 5 如何根据偏色问题定位需要调试的模块 6 简述一下AWB的算法流程 7 SA
display aspect ratio和遥控器上的调整

刚刚通过实验新鲜总结出来的科普一下一张DVD电影碟片其解码出来的视频画面大小总是固定的比如NTSC的DVD 总是720x480 其实不一定但可以姑且这么认为显示比例为4 3 不过值得注意的是现代的DVD Player和电视机
C++模板

模板定义函数模板 template
websocket 心跳机制

WebSocket 是一种在客户端和服务器之间创建持久连接的技术为了保持连接的稳定性就需要通过发送心跳消息来维持 WebSocket 连接 1 创建一个webscoket基本的使用创建 WebSocket 对象传入服务器地址 con
k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限

k8s 基础 23 7 认证授权准入控制限制用户操作k8s资源的权限 1 生成一个证书 1 1 生成一个私钥 cd etc kubernetes pki umask 077 openssl genrsa out lucky key 2

k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限

k8s–基础–23.7–认证-授权-准入控制–限制用户操作k8s资源的权限

1、生成一个证书

1.1、生成一个私钥

1.2、生成一个证书请求

1.3、生成一个证书

2、在kubeconfig下新增加一个lucky这个用户

2.1、把lucky这个用户添加到kubernetes集群中，可以用来认证apiserver的连接

2.2、在kubeconfig下新增加一个lucky这个账号

2.3、切换账号到lucky，默认没有任何权限

3、把 lucky用户 通过rolebinding绑定到clusterrole上，授予权限,权限只是在lucky这个名称空间有效

3.1、把lucky这个用户通过rolebinding绑定到clusterrole上

3.2、切换到lucky这个用户

3.3、测试是否有权限

4、添加一个lucky的普通用户

k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限 的相关文章

随机推荐

热门标签

3、把 lucky用户通过rolebinding绑定到clusterrole上，授予权限,权限只是在lucky这个名称空间有效

k8s--基础--23.7--认证-授权-准入控制--限制用户操作k8s资源的权限的相关文章