k8s_day07_02

2023-10-27

k8s_day07_02

静态密码方式认证k8s

kubeconfig

1、kubeconfig 配置文件：

在 /etc/kubernetes/有conf 结尾的文件，那个就是kubeconfig 类型的配置文件。用于控制节点组件和api交互时提供的身份验证。将用户名、认证信息等组织一起，便于认证到API Server上的认证信息文件；

[root@master01 ~]# ls /etc/kubernetes/*.conf
/etc/kubernetes/admin.conf  /etc/kubernetes/controller-manager.conf  /etc/kubernetes/kubelet.conf  /etc/kubernetes/scheduler.conf
[root@master01 ~]#

kubeconfig 主要内容是用户列表、集群列表信息，程序调用时使用的context：当前准备什么用户管理哪个集群（用户和集群的映射关系）

支持一个文件中保存m个集群的n个认证信息；

2、kubeconfig 命令

客户端程序kuvbectl 可以通过默认路径（~/.kube/）、–kubeconfig、 KUBECONFIG 环境变量加载自定义的kubeconfig 文件。

eg:

[root@master01 ~]# kubectl  options |grep cache
      --cache-dir='/root/.kube/cache': Default cache directory
      
[root@master01 ~]# kubectl  options |grep '\--kubeconfig'
      --kubeconfig='': Path to the kubeconfig file to use for CLI requests.

[root@master01 ~]#  kubectl get po/mypod  --kubeconfig=/etc/kubernetes/admin.conf
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          137m
[root@master01 ~]#

[root@master01 ~]# export KUBECONFIG=/etc/kubernetes/admin.conf
[root@master01 ~]# kubectl get po/mypod 
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          139m

查看 kubeconfig 文件配置

不指定，默认显示的是家目录的

[root@master01 ~]# kubectl  config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://kubeapi.magedu.com:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
[root@master01 ~]#

查看context

[root@master01 ~]# kubectl  config  get-contexts
CURRENT   NAME                          CLUSTER      AUTHINFO           NAMESPACE
*         kubernetes-admin@kubernetes   kubernetes   kubernetes-admin   
[root@master01 ~]#

3、密码认证

静态密码文件：
password,user,uid,“group1,group2,group3”

修改apiserver.yaml

  - --basic-auth-file=/etc/authfiles/passwd.csv
 
   - mountPath: /etc/authfiles/
      name: authfiles
      readOnly: true


  - hostPath:
    path: /etc/authfiles/
    type: DirectoryOrCreate
    name: authfiles

[root@master01 ~]# cat /etc/authfiles/passwd.csv 
ilinux@Magedu,ilinux,1100,"kubeusers,kubeadmin"
ik8s@Magedu,ik8s,1200,"kubeusers"

/etc/kubernetes/manifests/kube-apiserver.yaml 修改后 kubelet 会自动扫描应用

[root@master01 ~]# kubectl exec kube-apiserver-master01 -it  -n kube-system  -- kube-apiserver --help|grep  basic
[root@master01 ~]#

1.20 版本不支持. 所以。。.。

x509 认证

k8s 证书体系

使用openssl创建。缺点无法集中方便管理客户证书可以通过Valut 系统管理

k8s 一共使用3套ca

1、apiserver 当作为服务端时使用的ca 就是 kubernetes-ca ，是 k8s主ca签名的证书。

主ca 自签名证书

[root@master01 pki]# cd /etc/kubernetes/pki/
[root@master01 pki]# ls ca.*
ca.crt  ca.key

api 服务端ca

[root@master01 pki]# ls apiserver.*
apiserver.crt  apiserver.key

在节点加入k8s 集群时，会创建向 k8s主ca的证书申请请求。kubelet 使用的ca 是子ca. 使用kubeadm 时，控制平面所使用的组件都是子ca , kubeadm 会帮我们自动创建

2、ecd 是另外一套自己的自签名CA 。api 作为客户端向etcd 访问时，api 会使用etcd 签名的证书子ca

[root@master01 pki]# ls apiserver-etcd-client.*
apiserver-etcd-client.crt  apiserver-etcd-client.key

api 做为客户端请求访问 kubelet 节点查询pod 信息时使用的ca

[root@master01 pki]# ls apiserver-kubelet-client.*
apiserver-kubelet-client.crt  apiserver-kubelet-client.key

etcd 主 ca

[root@master01 pki]# ls etcd/ca*
etcd/ca.crt  etcd/ca.key

etcd 作为服务端时使用的ca

[root@master01 pki]# ls  etcd/server.*
etcd/server.crt  etcd/server.key

etcd 内部集群通信时使用的ca

[root@master01 pki]# ls  etcd/peer*
etcd/peer.crt  etcd/peer.key
[root@master01 pki]#

3、对接外部时，使用的聚合器是另外一套ca

自定义证书认证

1、生成用户自定义的证书

使用k8s主ca 签名就行

[root@master01 pki]# pwd
/etc/kubernetes/pki
[root@master01 pki]# 
[root@master01 pki]# mkdir usercerts
[root@master01 pki]# cd usercerts/
[root@master01 usercerts]# (umask 077;openssl genrsa -out magedu.key 2048)
Generating RSA private key, 2048 bit long modulus
....................................................................................+++
............................+++
e is 65537 (0x10001)
[root@master01 usercerts]# 


[root@master01 usercerts]# openssl  req -new -key magedu.key -out magedu.csr -subj "/CN=magedu/O=kubeusers"
[root@master01 usercerts]# openssl x509 -req -days 3650 -CA /etc/kubernetes/pki/ca.crt  -CAkey /etc/kubernetes/pki/ca.key  -CAcreateserial -in magedu.csr -out magedu.crt
Signature ok
subject=/CN=magedu/O=kubeusers
Getting CA Private Key
[root@master01 usercerts]# ls
magedu.crt  magedu.csr  magedu.key
[root@master01 usercerts]#

2、生成需要管理的cluster 信息，保存到kubeconfig 文件中

[root@master01 usercerts]# kubectl config set-cluster  kubernetes --server=https://kubeapi.magedu.com:6443 --embed-certs --certificate-authority=/etc/kubernetes/pki/ca.crt --kubeconfig=/tmp/mykubeconfig
Cluster "kubernetes" set.

3、生成需要管理的user 信息，保存到kubeconfig 文件中

[root@master01 usercerts]# kubectl  config set-credentials magedu --client-certificate=./magedu.crt --client-key=./magedu.key --embed-certs=true --kubeconfig=/tmp/mykubeconfig
User "magedu" set.
[root@master01 usercerts]#

–embed-certs=true 会加密kubeconfig 的证书信息

[root@master01 usercerts]# kubectl   config view --kubeconfig=/tmp/mykubeconfig
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://kubeapi.magedu.com:6443
  name: kubernetes
contexts: null
current-context: ""
kind: Config
preferences: {}
users:
- name: magedu
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

4、创建user 、cluster 的对应关系 context

[root@master01 usercerts]#  kubectl  config set-credentials magedu --client-certificate=./magedu.crt --client-key=./magedu.key --embed-certs=true --kubeconfig=/tmp/mykubeconfig
User "magedu" set.
[root@master01 usercerts]# kubectl   config  set-context 'magedu@kubernetes'  --user=magedu --cluster=kubernetes  --kubeconfig=/tmp/mykubeconfig
Context "magedu@kubernetes" created.
[root@master01 usercerts]# kubectl   config  use-context magedu@kubernetes --kubeconfig=/tmp/mykubeconfig
Switched to context "magedu@kubernetes".

验证结果

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://kubeapi.magedu.com:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: magedu
  name: magedu@kubernetes
current-context: magedu@kubernetes
kind: Config
preferences: {}
users:
- name: magedu
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
[root@master01 usercerts]#

[root@master01 usercerts]# kubectl get nodes --kubeconfig=/tmp/mykubeconfig
Error from server (Forbidden): nodes is forbidden: User "magedu" cannot list resource "nodes" in API group "" at the cluster scope
[root@master01 usercerts]#

出现这个原因是因为没有授权

5.1、kubeconfig 配置文件的合并

kubectl config 如果不用 --kubeconfig= 选项，那么所的有的修改都会保存在默认的家目录的那个kube文件中

例子：对

没改之前，因为配置文件中已经有了集群kubernetes 列表项，主要创建新的context 列表项。修改现在使用的context 就行

[root@master01 usercerts]# kubectl   config  view

直接修改

[root@master01 usercerts]#  kubectl  config set-credentials magedu --client-certificate=./magedu.crt --client-key=./magedu.key --embed-certs=true 
User "magedu" set.
[root@master01 usercerts]# kubectl   config  set-context 'magedu@kubernetes' --user=magedu --cluster=kubernetes 
Context "magedu@kubernetes" created.
[root@master01 usercerts]#  kubectl   config  use-context magedu@kubernetes 
Switched to context "magedu@kubernetes".
[root@master01 usercerts]#

验证

[root@master01 usercerts]#  kubectl   get ns
Error from server (Forbidden): namespaces is forbidden: User "magedu" cannot list resource "namespaces" in API group "" at the cluster scope
[root@master01 usercerts]#

5.2、–context

为了方便使用context ，可以直接在命令行指定

[root@master01 usercerts]#  kubectl   get ns
Error from server (Forbidden): namespaces is forbidden: User "magedu" cannot list resource "namespaces" in API group "" at the cluster scope
[root@master01 usercerts]# kubectl get ns --context= 
NAME              STATUS   AGE
default           Active   11d
dev               Active   7h43m
kube-node-lease   Active   11d
kube-public       Active   11d
kube-system       Active   11d
longhorn-system   Active   11d
[root@master01 usercerts]#

5.3、kubeconfig 的删除命令

[root@master01 usercerts]#  kubectl   config   delete-context  magedu@kubernetes 
deleted context magedu@kubernetes from /root/.kube/config

[root@master01 usercerts]#  kubectl   config   delete-user  magedu
deleted user magedu from /root/.kube/config
[root@master01 usercerts]#

5.4 “合并和斩平”

export 变量同时指定多个文件。这样的后果是合并前有相同的列表项的话，合并也会有会重复。比如有多个相同的集群名。

[root@master01 usercerts]# export KUBECONFIG="$HOME/.kube/config:/tmp/mykubeconfig"
[root@master01 usercerts]# kubectl config view 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://kubeapi.magedu.com:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
- context:
    cluster: kubernetes
    user: magedu
  name: magedu@kubernetes

合并斩平

[root@master01 usercerts]# kubectl  config view --merge --flatten > /tmp/newkubeconfig

RBAC授权控制

逻辑分类：

DAC(自主访问控制，默认不启用selinux 的情况下就是)、MAC( 强访问控制如 selinux) 、RBAC、ABAC

k8s 支持的最好的2种：RBAC、ABAC

RBAC 注意：默认情况下只允许定义的规则当中用户角色访问，没定义统统拒绝

RBAC 权限

API Server 是 RESTful风格的http/https服务。所以权限指的是基于 http 方法：GET, POST, PUT, DELETE, PATCH 的操作等等。这些操作在RBAC 当中叫 Action 行为/动作

所以权限指的是什么Action能施加到哪些资源对象（object）上；比如 GET Pods 、DELETE Namespaces

k8s 权限控制：

k8s 中和权限相关的四个资源类型：

Role:

角色，名称空间级别；

role 和cluster role 定义了动作发出者(role/cluster) 可以在资源对象上的操作【verb】.

[root@master01 usercerts]# kubectl  get role/kube-proxy -n kube-system -oyaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  creationTimestamp: "2021-12-13T03:52:31Z"
  name: kube-proxy
  namespace: kube-system
  resourceVersion: "194"
  selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/kube-system/roles/kube-proxy
  uid: e1f858b7-4141-4d0e-b45a-dba60a59ec71
rules:
- apiGroups:
  - ""
  resourceNames:
  - kube-proxy
  resources:
  - configmaps
  verbs:
  - get
[root@master01 usercerts]#

把角色赋予权限，再把角色指派给人 (RoleBinding/ClusterRoleBinding)

ClusterRole：

集群角色，全局级别；

RoleBinding:

“角色绑定”，指是将用户与角色关联起来，意味着，用户仅得到了特定名称空间下的Role的权限，作用范围也限于该名称空间；

ClusterRoleBinding：

集群角色绑定，让用户扮演指定的集群角色；意味着，用户得到了是集群级别的权限，作用范围也是集群级别；

User --> Rolebindig --> ClusterRole：权限降级，ClusterRole，用户得到的权限仅是ClusterRole的权限在Rolebinding所属的名称空间上的一个子集；

能接受施加Verb的目标有三类：

resources：资源类型，该类型下的所有对象都是目标， pods；
resourceNames：特定的对象个体，pods/mypod；
nonResourceURLs：非资源型的URL，/status, 比如 pod/log (表示pod 中日志)

Verbs：

create、get、list、delete、patch、update

特殊绑定

Subject --> RoleBinding --> Roles
Subject --> ClusterRoleBinding --> ClusterRoles

这是2种正常给用户赋予角色的操作：分别是用户被授权于名称空间级别、集群级别的操作。

通常来说集群级别就是全局级别，啥都能管。而名称空间级别就是只能管特定名称空间下特定一部分的动作，而不是所有。

所以也可以赋予集群级别在特定名称空间下操作角色。也就是在这个名称空间下，它具有所有权限，也就相当于是这个名称空间下的管理员了。

Subject --> RoleBinding --> ClusterRoles

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

k8s_day07_02 的相关文章

如何检查docker中当前/默认的日志驱动程序？

我正在尝试检查已停止的 docker 容器的日志但是当我这样做时docker logs
如何在 docker-compose 文件中引用 traefik v2 的自签名 SSL 证书？

在 docker compose YAML 文件中引用 Tr fik v2 自签名证书的文档非常有限您可以按照以下方法进行操作让我们加密 https en wikipedia org wiki Let 27s Encrypt https
无法将 docker 映像推送到本地 OpenShift Origin 注册表

目标是能够在我的笔记本电脑上获取 Docker 映像并将其推送到 OpenShift Origin 映像注册表由oc cluster up 进行本地开发目前尚不清楚我是否做错了什么或者 Docker 或 OpenShift Origi
如何使用 kubeadm 升级来更改 kubeadm-config 中的某些功能

我想在现有的 kubernetes 集群 v1 10 上安装 kube prometheus 在此之前文档说我需要将控制器调度器的IP地址从127 0 0 1 to 0 0 0 0 并且还推荐使用kubeadm 配置升级 https k
Docker Hub API v2 令牌身份验证问题

目前我正在开发一个非常轻量级版本的 Docker 容器编排器并且我必须能够从公共 Docker Hub 注册表获取图像摘要我想使用 Docker Registry API v2 来实现此目的我正在尝试使用以下 API 调用获取授权令
无法使用 docker build 运行 gradle 包装器

我有这个小构建 FROM eclipse temurin 17 jdk as build java COPY java project root project WORKDIR root project RUN chmod x gradle
无法从我的电脑上使用 traefik 后面的 gitlab 进行 git 克隆

这是我的 gitlab 和 traefik 配置 version 3 7 services gitlab web image gitlab gitlab ce latest restart always hostname gitlab ro
docker repo 解决映像构建期间的错误错误（检查存储库文件）

我在构建 docker 映像时遇到问题并尝试了不同的 DNS 选项但似乎运气不佳 Docker版本1 9 1 构建a34a1d5 回购还活着为了运行我使用的容器docker run dns 192 168 1 1 d ti name
我可以更改 Windows Docker 容器中的日期和时间吗？

我正在尝试测试一个在特定时间段内导出文件的软件我想到使用 docker 容器来提供所需的时间而不是使用系统时间问题是我缺乏更改容器时间的权限并出现以下错误消息 PS C usr src app gt Set Date Date Get
docker compose 命令与配置文件一起运行

随着 docker 最近的更新每当我运行时docker compose up ddocker 引擎建议我使用以下行 Docker Compose 现在位于 Docker CLI 中请尝试docker compose up 问题是我怎样才
我应该将Python的pyc文件添加到.dockerignore吗？

我见过几个例子 dockerignorePython 项目的文件其中 pyc文件和或 pycache 文件夹被忽略 pycache pyc 由于无论如何这些文件文件夹都会在容器中重新创建我想知道这样做是否是一个好习惯是的这是一个
如何将docker postgres镜像10.3中的pg_restore升级到10.5

我使用 tableplus 作为我的一般管理员目前使用 10 3 版本的 docker postgres 镜像进行生产和本地主机开发因为tableplus将他们的postgres 10驱动程序升级到了10 5 所以我不能再使用pg re
如何使用 withParam 引用在 DAG 外部创建的 sys.stdout 以在 DAG 内部使用？

我正在使用 Argo 工作流程我的中有一个 DAG 步骤entrypoint这遵循几个正常步骤其中一个步骤执行sys stdout 进入 DAG 步骤后我希望某些任务引用 DAG 步骤的结果sys stdout 我知道我们是否想参考s
诊断“功能主机未运行。”在码头工人

我正在尝试将几个基于 dotnet 的功能应用程序 v3 迁移到 docker 容器为此我们使用来自mcr microsoft com azure functions dotnet https hub docker com micros
如何使用 Fabric8 maven 插件使用环境变量中的值指定 spring.profiles.active 参数？

我有一个定义 ENVIRONMENT 参数的 K8s 配置映射该值使用 src fabric8 deployment yml 中的摘录作为环境变量安装在部署 yaml 上 spec template spec containers env
将 Kubernetes 抓取目标添加到不在 Kubernetes 中的 Prometheus 实例

I run 普罗米修斯 https prometheus io 本地为 http localhost 9090 targets docker run name prometheus d p 127 0 0 1 9090 9090 prom
每次我执行 docker compose up 时，Docker 都会创建一个新卷

我有一个 docker compose 文件可以启动多个服务我刚刚收到一条错误消息指出我的磁盘空间不足因此我输入 docker system df 并看到我有 21 个卷如果我有 3 个 docker 容器每个容器都附加一个卷
无法在docker容器中安装npm？

我正在数字海洋服务器的 Docker 平台上部署一个简单的 Node js 应用程序包 json name docker centos hello private true version 0 0 1 description Node j
没有特权访问的 Docker VPN IPSec 客户端

我有一个 mysql 数据库只有在建立 VPN 连接后才能访问 IpSec shared secret 用户名密码所以我想运行一个隔离的docker容器它将建立此连接并以某种方式代理公开mysql端口以便其他容器可以连接到它而不
入口控制器可以使用基于选择器的规则吗？

我已在 AKS 中部署了有状态集我的目标是对有状态集的流量进行负载平衡根据我的理解我可以定义一个 LoadBalancer 服务它可以基于选择器路由流量类似这样 apiVersion v1 kind Service metadat

随机推荐

day87(6.7函数的重载)

1 函数的重载函数的重载就是在同一个类中允许同时存在一个以上的同名函数只要它们的参数个数或类型不同即可在同一个类中可以定义多个同名方法方法名重载 overload public class PrintStream public
Python兼职半月赚了5570元：边学习边赚钱真的很爽！

前几天去参加朋友聚会还没聊几句就看到阿杰手机叮地一声弹出一条推送支付宝已到账 5570元我开玩笑说你暑假都有这么多生活费啊羡慕了快乐都是别人的没想到阿杰说除了管爸妈要生活费我还不能搞点副业儿养活自己吗我不酸仔细
尽量使用 useReducer，不要使用 useState

原文 useReducer don t useState 本文难度入门级别本文默认你已经大概了解过 React Hooks 如果不了解可以先看看 ReactJS 的文档当开发者们开始在他们的应用中使用 React Hooks API
DSP28335的RS232串口通讯试验

目录前言一理论部分基本概念 SCI数据格式管脚定义逻辑电平规定波特率二 F28335配置RS232串口通讯 DSP28335SCI控制框图寄存器配置三验证验证思路试验环境关键程序试验结果前言串口通信 Ser
JS——面向对象

文章目录 1 class继承 1 class继承定义一个类属性和方法定义一个学生类 class Student constructor name this name name hello alert Hello var xiaomin
基于机器视觉的水果检测算法实现

一摘要这是一款基于卷积神经网络和数字图像处理的智能水果检测和分类系统由检测分类两个部分组成通过互联网下载和使用多媒体处理工具对水果拍摄视频剪辑处理得到大量水果图片对图片进行标定获得数据集并将数据集分成训练集和测试集检测部分使
基于二阶锥规划（SOCP）松弛和线性离流的配电网规划（DNP）方法示例（Matlab代码实现）

目录 1 概述 2 运行结果 3 参考文献 4 Matlab代码 1 概述配电网最优潮流 Optimal Power Flow OPF 问题是指在满足一定约束条件的情况下通过控制配电网中的可控变量使配电网达到优化运行的目的由于OPF
手把手教你搭建优雅的ssm框架（完整）

直接开始搭建使用的是idea工具新建一个maven项目加入框架支持点开目录后你会发现里面缺少目录我们自己创建一下在pom xml中添加依赖这些依赖必不可少后面可以根据需求自己添加
第十四届蓝桥杯国赛python青少组题目

LQGS14PB01 时间限制 3000MS 内存限制 589824KB 题目描述编程实现注 input 输入函数的括号中不允许添加任何信息给定一个字符串S S长度 lt 100 统计字符串中字母一共有多少个例如 S 1Abb 其中
keil 软件如何生成.hex文件

1 当程序编译通过没错误了按照下图步骤勾选点击魔术棒 output界面勾选hex 2 勾选完点击ok 再对程序进行编译出现下图内容则生成hex文件成功
C++ 学习笔记（二）

C 继承与派生 1 公有继承是指在源生一个类时继承方式为public的继承方式在public继承方式下基类成员在派生类中的访问权限为基类的公有和保护成员的访问属性在派生类中不变而基类的私有成员不可访问即基类的公有成员和保护成员被继
Vue中 element的table表格导入与导出为excel表格的实现

Vue中 element的table表格导入与导出为excel表格的实现一导入 2 1 安装xlsx插件 2 2 新建导入功能组件 2 3 注册全局的导入excel组件 2 4 创建导入路由组件 2 5 封装导入接口实现excel
QM二面

目录如何在笔记本上添加永久路由扩展 Linux如何查看并杀死进程模拟场景动态路由协议和DNS的共同之处如何在笔记本上添加永久路由 route print 查看路由表添加路由的命令 route add 网段 mask 子网掩码网
从二叉树到堆排序

目录一树 1 树的基本概念 2 二叉树 1 最常见表示二叉树的方法 2 满二叉树 3 完全二叉树 4 二叉树的性质 5 存储结构二堆 1 逻辑结构与存储结构 2 堆的特性 3 向下调整算法 4 建堆 5 堆排序一树 1 树的基本
数据库模糊查询

常用的模糊查询语句有 1 like 查询姓李的同学使用like like 结合代表多个字符代表一个字符 SELECT id myname FROM aaa WHERE myname LIKE 李 like的用法就像我们使用百度搜索时啊
MQTT通讯之连接MQTT服务器

根据添加链接描述和添加链接描述我的APP已经成功连接上MQTT服务器至于怎么发布和接收正在研究研究好了发上来作者写的代码是Java的但现在都推荐Kotlin 我就把转好的Kotlin代码发出来 package com e
Anaconda Python Pytorch (GPU) 配置

目录 0 写在前面 1 Anaconda下载 1 1 下载 1 2 安装 1 2 1 设置安装路径 1 2 2 两个都勾上 1 3 查看conda版本 2 CUDA及cuDNN 2 1 查看是否可以安装CUDA 2 2 CUDA和Pytor
【2022最新Java面试宝典】—— Java基础知识面试题（91道含答案）

目录一 Java概述 1 何为编程 2 什么是Java 3 jdk1 5之后的三大版本 4 Jdk和Jre和JVM的区别 5 什么是跨平台性原理是什么 6 Java语言有哪些特点 7 什么是字节码采用字节码的最大好处是什么 8 什么是
什么是芯片？

https zhuanlan zhihu com p 228757435 utm source weibo utm medium social utm oi 895441374156029952 utm content snapshot 什
k8s_day07_02

k8s day07 02 静态密码方式认证k8s kubeconfig 1 kubeconfig 配置文件在 etc kubernetes 有conf 结尾的文件那个就是kubeconfig 类型的配置文件用于控制节点组件和api交

k8s_day07_02

静态密码方式认证k8s

1、kubeconfig 配置文件：

2、kubeconfig 命令

3、密码认证

x509 认证

k8s 证书体系

自定义证书认证

1、生成用户自定义的证书

2、生成需要管理的cluster 信息 ，保存到kubeconfig 文件中

3、生成需要管理的user 信息 ，保存到kubeconfig 文件中

4、创建user 、cluster 的对应关系 context

5.1、kubeconfig 配置文件的合并

5.2、–context

5.3、kubeconfig 的删除命令

5.4 “合并 和 斩平”

RBAC授权控制

k8s 权限控制：

k8s 中和权限相关的四个资源类型：

Role:

ClusterRole：

RoleBinding:

ClusterRoleBinding：

能接受施加Verb的目标有三类：

Verbs：

特殊绑定

k8s_day07_02 的相关文章

随机推荐

热门标签

2、生成需要管理的cluster 信息，保存到kubeconfig 文件中

3、生成需要管理的user 信息，保存到kubeconfig 文件中

5.4 “合并和斩平”