Kubernetes之kuberconfig--普通用户授权kubernetes集群

逆水行舟用力撑，一篙松劲退千寻。这篇文章主要讲述Kubernetes之kuberconfig--普通用户授权kubernetes集群相关的知识，希望能为你提供帮助。
背景：是这样的一个事情：服务运行于kubernetes集群（腾讯云tke1.20.6）。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便，还是想看控制台输出的。给他们分配过一台服务器（加入到集群中，但是有污点标签的节点）。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了！重新复习一遍kubeconfig配置文件以及 rolerolebinding的知识！
注： namespace为official。想分配的权限是list and log，嗯查看pod列表和查看日志不能删除修改namespace下pod。并且不能查看其他namespace。
Kubernetes之kuberconfig 1. 创建用户凭证【Kubernetes之kuberconfig--普通用户授权kubernetes集群】前提： openssl的安装就忽略了......
1. 创建用户证书私钥
用户就用我自己名字了，私钥命名为zhangpeng.key

openssl genrsa -out zhangpeng.key 2048

文章图片
2. 创建证书签名请求文件
使用我们刚刚创建的私钥创建一个证书签名请求文件：zhangpeng.csr，要注意需要确保在-subj参数中指定用户名和组(CN表示用户名，O表示组)

openssl req -new -key zhangpeng.key -out zhangpeng.csr -subj "/CN=zhangpeng/O=layabox"

可能你会出现下面的报错：

文章图片

注：图非上面执行命令的截图，其他环境下操作出现的
解决方式如下：

cd /root openssl rand -writerand .rnd

文章图片

然后重新执行命名

openssl req -new -key zhangpeng.key -out zhangpeng.csr -subj "/CN=zhangpeng/O=layabox"

3. 生成最终证书文件
找到Kubernetes集群的CA，如果你是使用的是kubeadm安装的集群，CA相关证书位于/etc/kubernetes/pki/目录下面，如果你是二进制方式搭建的，你应该在最开始搭建集群的时候就已经指定好了CA的目录，我们会利用该目录下面的ca.crt和ca.key两个文件来批准上面的证书请求。当然了我使用的是腾讯云的tke集群。证书是位于/etc/kubernetes目录下的 server.crt和server.key。这里就用这两个文件生成证书文件，命令如下：
?

root@ap-shanghai-k8s-master-1:~/ap-shanghai# openssl x509 -req -in zhangpeng.csr -CA /etc/kubernetes/ca.crt -CAkey /etc/kubernetes/ca.key -CAcreateserial -out zhangpeng.crt -days 3650 Signature ok subject=CN = zhangpeng, O = layabox Getting CA Private Key

查看我们当前文件夹下面是否生成了一个证书文件

文章图片

4. 在kubernetes集群中创建凭证和上下文（context）
创建新的用户凭证

root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl config set-credentials zhangpeng --client-certificate=zhangpeng.crt--client-key=zhangpeng.key User "zhangpeng" set.

为用户设置Context:

root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl config set-context zhangpeng-context --cluster=kubernetes --namespace=official --user=zhangpeng Context "zhangpeng-context" created.

文章图片

到这里，zhangpeng用户的配置就已经创建成功了，现在我们使用当前的这个配置文件来操作kubectl命令的时候，应该会出现错误，因为我们还没有为该用户定义任何操作的权限：

$ kubectl get pods --context=zhangpeng-context -n official Error from server (Forbidden): pods is forbidden: User "zhangpeng" cannot list resource "pods" in API group "" in the namespace "official"

2. 创建角色cat role.yaml

apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: official name: official-log-role rules: - apiGroups: [""] resources: ["pods", "pods/log"] verbs: ["get", "list"]

kubectl apply -f role.yaml

注：可参照https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/rbac鉴权
3. 创建角色权限绑定cat rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: ap-shanghai-rolebinding namespace: official subjects: - kind: User name: zhangpeng apiGroup: "" roleRef: kind: Role name: official-log-role apiGroup: ""

kubectl apply -f rolebinding.yaml

4. 测试

root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl get pods --context=zhangpeng-context The connection to the server localhost:8080 was refused - did you specify the right host or port?

报错了为什么呢？喵一眼/root/.kube/config文件：

文章图片

tke集群默认的cluster是local.我在1.2.4步骤中cluster设置的是kubernetes。这里直接在config文件中修改了cluster为local。也强调一下在执行1.2.4步骤的时候一定要先确认一下集群的cluster名称。不要直接copy拿来主义！
?
重新进行测试：

kubectl get pods --context=zhangpeng-context

文章图片

由于这些pod都是线上跑的，我就新建一个nginx pod然后进行测试下是否可以delete and edit

kubectl run nginx --image=nginx -n official

$ kubectl delete pods nginx --context=zhangpeng-context Error from server (Forbidden): pods "nginx" is forbidden: User "zhangpeng" cannot delete resource "pods" in API group "" in the namespace "official"

$ kubectl edit nginx --context=zhangpeng-context error: pods "nginx" could not be patched: pods "nginx" is forbidden: User "zhangpeng" cannot patch resource "pods" in API group "" in the namespace "official" You can run `kubectl replace -f /tmp/kubectl-edit-kp0az.yaml` to try this update again.

嗯然后将config文件copy到用户的跳板机上面/root/.kube/config：

文章图片

我是那么做的删除了原来的集群默认用户的user and contexts。讲contexts默认用户设置为创建的zhangpeng-context。当然了也记得把client-certificateclient-key 文件copy到对应目录（当然了自己也可以自定义下，然后修改一下config文件）