2. 技术
    3. 限制不同的用户操作k8s的资源

    限制不同的用户操作k8s的资源

    技术2026-06-06  11

    微信公众号搜索linux全栈技术 ,即可关注我的公众号,也可通过扫描文章最后的二维码关注,每天都会分享技术文章供大家参考阅读~,拥抱开源,同大家共同进步~

    ssl认证

    生成一个证书

    (1)生成一个私钥

    cd /etc/kubernetes/pki/

    (umask 077; openssl genrsa -out lucky.key 2048)

    (2)生成一个证书请求

    openssl req -new -key lucky.key -out lucky.csr -subj "/CN=lucky"

    (3)生成一个证书

    openssl x509 -req -in lucky.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out lucky.crt -days 3650

    在kubeconfig下新增加一个lucky这个用户

    (1)把lucky这个用户添加到kubernetes集群中,可以用来认证apiserver的连接

    kubectl config set-credentials lucky --client-certificate=./lucky.crt --client-key=./lucky.key --embed-certs=true

    (2)在kubeconfig下新增加一个lucky这个账号

    kubectl config set-context lucky@kubernetes --cluster=kubernetes --user=lucky

    (3)切换账号到lucky,默认没有任何权限

    kubectl config use-context lucky@kubernetes kubectl config use-context kubernetes-admin@kubernetes #这个是集群用户,有任何权限

    把user这个用户通过rolebinding绑定到clusterrole上,授予权限,权限只是在lucky这个名称空间有效

    (1)把lucky这个用户通过rolebinding绑定到clusterrole上

    kubectl create rolebinding lucky -n lucky --clusterrole=cluster-admin --user=lucky

    (2)切换到lucky这个用户

    kubectl config use-context lucky@kubernetes

    (3)测试是否有权限

    kubectl get pods -n lucky

    有权限操作这个名称空间

    kubectl get pods

    没有权限操作其他名称空间

    添加一个lucky的普通用户

    useradd lucky cp -ar /root/.kube/ /home/lucky/ chown -R lucky.lucky /home/lucky/ su - lucky

    kubectl get pods -n lucky

    通过上面可以发现lucky这个用户只能操作lucky名称空间

     

    往期精彩文章回顾

    kubernetes全栈技术+企业案例演示【带你快速掌握和使用k8s】

    kubernetes面试题汇总

    DevOps视频和资料免费领取

    kubernetes技术分享-可用于企业内部培训

    kubernetes系列文章第一篇-k8s基本介绍

    kubernetes系列文章第二篇-kubectl

    kubernetes集群中部署EFK日志管理系统

    Kubernetes中部署MySQL高可用集群

    Prometheus+Grafana+Alertmanager搭建全方位的监控告警系统-超详细文档

    k8s1.18多master节点高可用集群安装-超详细中文官方文档

    Kubernetes Pod健康检查-livenessProbe和readinessProbe

    kubernetes pod生命周期管理-postStart和preStop

    k8s中蓝绿部署、金丝雀发布、滚动更新汇总

    运维常见问题汇总-tomcat篇

    运维常见问题汇总-tomcat部署java项目大量close_wait解决方案

    关于linux内核参数的调优,你需要知道

    jenkins+kubernetes+harbor+gitlab构建企业级devops平台

    通过jenkins构建一个多分支的Pipeline项目

    kubernetes调度器性能调优

    报警神器Alertmanager发送报警到多个渠道

    kubernetes挂载ceph rbd和cephfs在jenkins中连接kubernetes集群

    技术交流群

    为了大家更快速的学习知识,掌握技术,随时沟通交流问题,特组建了技术交流群,大家在群里可以分享自己的技术栈,抛出日常问题,群里会有很多大佬及时解答,这样我们就会结识很多志同道合的人,长按下图可加我微信,备注运维或者k8s或者devops即可进群,让我们共同努力,向着美好的未来出发吧~~~,想要免费获取各个版本的k8s高可用集群的安装视频或者其他的免费视频,也可进群获取哈~~     

                  

                                  扫码加群????

    微信:justso656

    微信公众号

                   长按指纹关注公众号????

                                           点击在看少个 bug????

    Processed: 0.017, SQL: 9