背景:
是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig配置文件以及 role rolebinding的知识! 注: namespace为official。想分配的权限是list and log,嗯查看pod列表和查看日志 不能删除修改namespace下pod。并且不能查看其他namespace。
Kubernetes之kuberconfig
1. 创建用户凭证
前提: openssl的安装就忽略了......
1. 创建用户证书私钥
用户就用我自己名字了,私钥命名为zhangpeng.key
openssl genrsa -out zhangpeng.key 2048
复制代码
2. 创建证书签名请求文件
使用我们刚刚创建的私钥创建一个证书签名请求文件:zhangpeng.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组)
openssl req -new -key zhangpeng.key -out zhangpeng.csr -subj "/CN=zhangpeng/O=layabox"
复制代码可能你会出现下面的报错: 注:图非上面执行命令的截图,其他环境下操作出现的 解决方式如下:
cd /root
openssl rand -writerand .rnd
复制代码 然后重新执行命名
openssl req -new -key zhangpeng.key -out zhangpeng.csr -subj "/CN=zhangpeng/O=layabox"
复制代码3. 生成最终证书文件
找到Kubernetes集群的CA,如果你是使用的是kubeadm安装的集群,CA相关证书位于/etc/kubernetes/pki/目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA的目录,我们会利用该目录下面的ca.crt和ca.key两个文件来批准上面的证书请求。当然了我使用的是腾讯云的tke集群。证书是位于/etc/kubernetes目录下的 server.crt和server.key。这里就用这两个文件生成证书文件,命令如下:
root@ap-shanghai-k8s-master-1:~/ap-shanghai# openssl x509 -req -in zhangpeng.csr -CA /etc/kubernetes/ca.crt -CAkey /etc/kubernetes/ca.key -CAcreateserial -out zhangpeng.crt -days 3650
Signature ok
subject=CN = zhangpeng, O = layabox
Getting CA Private Key
复制代码查看我们当前文件夹下面是否生成了一个证书文件
4. 在kubernetes集群中创建凭证和上下文(context)
创建新的用户凭证
root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl config set-credentials zhangpeng --client-certificate=zhangpeng.crt --client-key=zhangpeng.key
User "zhangpeng" set.
复制代码为用户设置Context:
root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl config set-context zhangpeng-context --cluster=kubernetes --namespace=official --user=zhangpeng
Context "zhangpeng-context" created.
复制代码 到这里,zhangpeng用户的配置就已经创建成功了,现在我们使用当前的这个配置文件来操作kubectl命令的时候,应该会出现错误,因为我们还没有为该用户定义任何操作的权限:
$ kubectl get pods --context=zhangpeng-context -n official
Error from server (Forbidden): pods is forbidden: User "zhangpeng" cannot list resource "pods" in API group "" in the namespace "official"
复制代码2. 创建角色
cat role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: official
name: official-log-role
rules:
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs: ["get", "list"]
复制代码kubectl apply -f role.yaml
复制代码注:可参照kubernetes.io/zh/docs/ref… rbac鉴权
3. 创建角色权限绑定
cat rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: ap-shanghai-rolebinding
namespace: official
subjects:
- kind: User
name: zhangpeng
apiGroup: ""
roleRef:
kind: Role
name: official-log-role
apiGroup: ""
复制代码kubectl apply -f rolebinding.yaml
复制代码4. 测试
root@ap-shanghai-k8s-master-1:~/ap-shanghai# kubectl get pods --context=zhangpeng-context
The connection to the server localhost:8080 was refused - did you specify the right host or port?
复制代码报错了为什么呢?喵一眼/root/.kube/config文件: tke集群默认的cluster是local.我在1.2.4步骤中cluster设置的是kubernetes。这里直接在config文件中修改了cluster为local。也强调一下在执行1.2.4步骤的时候一定要先确认一下集群的cluster名称。不要直接copy拿来主义!
重新进行测试:
kubectl get pods --context=zhangpeng-context
复制代码 由于这些pod都是线上跑的,我就新建一个nginx pod然后进行测试下是否可以delete and edit
kubectl run nginx --image=nginx -n official
复制代码$ kubectl delete pods nginx --context=zhangpeng-context
Error from server (Forbidden): pods "nginx" is forbidden: User "zhangpeng" cannot delete resource "pods" in API group "" in the namespace "official"
复制代码$ kubectl edit nginx --context=zhangpeng-context
error: pods "nginx" could not be patched: pods "nginx" is forbidden: User "zhangpeng" cannot patch resource "pods" in API group "" in the namespace "official"
You can run `kubectl replace -f /tmp/kubectl-edit-kp0az.yaml` to try this update again.
复制代码嗯 然后将config文件copy到用户的跳板机上面/root/.kube/config: 我是那么做的删除了原来的集群默认用户的user and contexts。讲contexts默认用户设置为创建的zhangpeng-context。当然了也记得把client-certificate client-key 文件copy到对应目录(当然了自己也可以自定义下,然后修改一下config文件)
切换一下命名空间namespace试一试:
基本实现了个人的目的。RBAC and安全上下文还要深入复习一下!