我需要创建用户为RBAC分配权限,我按如下方式创建它们:
echo -n "lucia" | base64
bHVjaWE=
echo -n "pass" | base64
cGFzcw==
apiVersion: v1
kind: Secret
metadata:
name: lucia-secret
type: Opaque
data:
username: bHVjaWE=
password: cGFzcw==
或创建:
kubectl create secret generic lucia-secret --from-literal=username='lucia',password='pass'
我不知道如何继续
USER_NICK=lucia
kubectl config set-credentials $USER_NICK \
--username=lucia \
--password=pass
kubectl get secret lucia-secret -o json | jq -r '.data["ca.crt"]' | base64 -d > ca.crt
endpoint=`kubectl config view -o jsonpath="{.clusters[?(@.name == \"$name\")].cluster.server}"`
kubectl config set-cluster cluster-for-lucia \
--embed-certs=true \
--server=$endpoint \
--certificate-authority=./ca.crt
kubectl config set-context context-lucia \
--cluster=cluster-for-lucia \
--user=$USER_NICK \
--namespace=default
ca.crt为null
感谢您的帮助!
答案 0 :(得分:8)
在本指南中,您可以找到如何为群集配置用户:https://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/#use-case-1-create-user-with-limited-namespace-access
长话短说:
关于ca.crt,您需要在主控主机中找到它。
已编辑:如果是GKE,请点击此处https://cloud.google.com/container-engine/docs/iam-integration
答案 1 :(得分:3)
由于kubernetes docs和Articles使用证书来为kubectl客户端创建或认证用户。但是,有一种使用ServiceAccount的简单方法。可以将ServiceAccount作为一个组来使用,以提供RBAC控制身份验证,这非常容易且具有描述性。步骤如下。
我正在执行的所有步骤都在default命名空间中。我将创建一个pod只读用户,该用户可以获取,列出和监视所有命名空间中的任何pod。
创建一个ServiceAccount,说“ readonlyuser”。
kubectl create serviceaccount readonlyuser
创建集群角色,说“ readonlyuser”。
kubectl create clusterrole readonlyuser --verb=get --verb=list --verb=watch --resource=pods
创建集群角色绑定,说“ readonlyuser”。
kubectl create clusterrolebinding readonlyuser --serviceaccount=default:readonlyuser --clusterrole=readonlyuser
现在从我们之前创建的ServiceAccount的秘密中获取令牌。我们将使用此令牌来验证用户身份。
TOKEN=$(kubectl describe secrets "$(kubectl describe serviceaccount readonlyuser | grep -i Tokens | awk '{print $2}')" | grep token: | awk '{print $2}')
现在在kube配置文件中为用户设置凭据。我正在使用“ vikash”作为用户名。
kubectl config set-credentials vikash --token=$TOKEN
现在创建一个说Podreader的上下文,我在这里使用我的集群名“ kubernetes”。
kubectl config set-context podreader --cluster=kubernetes --user=vikash
最后使用上下文。
kubectl config use-context podreader
就是这样。现在可以执行kubectl get pods --all-namespaces。也可以按照给定的条件
~ : $ kubectl auth can-i get pods --all-namespaces
yes
~ : $ kubectl auth can-i create pods
no
~ : $ kubectl auth can-i delete pods
no
答案 2 :(得分:0)
答案 3 :(得分:0)
对我有用的更新有点晚。
我还需要按命名空间过滤掉,让开发人员可以只读访问主要应用资源,而不是节点、机密、入口控制器、入口或其他命名空间。
修改并应用以下 YAML:
apiVersion: v1
kind: ServiceAccount
metadata:
name: sa-reader
namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: reader-cr
rules:
- verbs: ["get", "list", "watch"]
resources:
- namespaces
- services
- endpoints
- pods
- deployments
- configmaps
- jobs
- cronjobs
- daemonsets
- statefulsets
- replicasets
- persistentvolumes
apiGroups: ["","apps","batch"]
- verbs: ["create", "delete"]
resources: ["pods"]
apiGroups: [""]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-tuxerrante-pods-rb
namespace: tuxerrante
subjects:
- kind: ServiceAccount
name: sa-reader
namespace: default
roleRef:
kind: ClusterRole
name: reader-cr
apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-tuxerrante-round-pods-rb
namespace: tuxerrante-round
subjects:
- kind: ServiceAccount
name: sa-reader
namespace: default
roleRef:
kind: ClusterRole
name: reader-cr
apiGroup: rbac.authorization.k8s.io
# THIS WILL APPEND CONFIGURATIONS TO YOUR CURRENT KUBECONFIG
$ TOKEN=$(kubectl describe -n default secrets "$(kubectl describe -n default serviceaccount sa-reader | grep -i Tokens | awk '{print $2}')" | grep token: | awk '{print $2}')
$ kubectl config set-credentials reader-user --token=$TOKEN
$ kubectl config set-context cluster-reader --cluster=cluster-svil --user=reader-user
# I PREFER TO COPY THE PREVIOUS NEW CONFIG IN A NEW FILE AND THEN USE IT
#
$ export KUBECONFIG=~/.kube/tuxerrante-reader.kubeconfig
$ kubectl config use-context cluster-reader
$ kubectl auth can-i get pods --all-namespaces
$ kubectl auth can-i create pods
$ kubectl auth can-i delete pods
$ kubectl -n tuxerrante get pods