kubectl --> 认证 --->授权 -->准入控制
认证:证书 身份识别
授权:rbac 权限检查
准入控制: 补充授权机制 多个插件实现 只在创建 删除 修改 或做代理操作时做补充
用户账号:
user
客户端 -->API server -->
user:username,uid
group:
extra:
API
Request path 访问资源请求
http://192.168.81.10:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy
kubectl api-versions
kubectl证书
cat .kube/config 本地有证书,可直接连接apiserver 授信了
kubectl proxy --port=8080 在其他服务器上开启apiserver监听 通过此监听与apiserver建立连接
curl http://localhost:8080/api/v1/namespaces 请求是通过url发给apiserver的,响应的是一个json结果
kubectl get deploy -n kube-system
curl http://localhost:8080/apis/apps/v1/namespaces/kube-system/deployments
curl http://localhost:8080/apis/apps/v1/namespaces/kube-system/deployments/coredns
所有的资源控制都是通过api请求实现的
/apis 是总的接口
kubectl get deploy
curl http://localhost:8080/apis/apps/v1/namespaces/default/deployments/myapp-deploy
Http request verb:请求动作 curl -s
get posts put delete
API requests verb 即kubectl命令
get list create update patch watch proxy delete deletecollection
Rescource:
Subresource Namespace Api group
kubectl get statefulset
curl http://localhost:8080/apis/apps/v1/namespaces/default/statefulsets
curl http://localhost:8080/apis/apps/v1/namespaces/default/statefulsets/myapp
有哪些客户端需要与apiserver联系
集群外的客户端 通过apiserver监听的节点地址kubectl proxy --port=8080
集群中的pods 通过 kubectl get svc, kubectl describe svc kubernetes,即通过10.96.0.1 kubernetes连接的 通过service引入到集群内部来
pods --> service kubernetes 10.96.0.1 --> 192.168.81.10:6443 apiserver 从而pod可以直接请求apiserver服务了
apiserver还要做认证: apiserver把自己的证书传给客户端 --> 客户端校验apiserver身份 --> apiserver校验客户端身份(pod地址为10.96.0.1)
pod账户认证 serviceaccount sa 服务账号
kubectl explain pods.spec.serviceAccountName
解释:
kubectl describe pods myapp-deploy-55b78d8548-t4xxx
Volumes:
default-token-dkt94:
Type: Secret (a volume populated by a Secret)
SecretName: default-token-dkt94
sercretName即是pod的账号或认证信息 以volumes的default-token-dkt94挂载到pods之上
serviceAccount也是标准的k8s资源 通过serviceAccountName加载到pods上
如何创建serviceaccount
kubectl create serviceaccount -h
例如:
kubectl create serviceaccount mysa --dry-run
创建serviceaccount账号 账号名 --dry-run:没有真正创建 生成框架
kubectl get sa
kubectl create serviceaccount admin
kubectl get sa 在查询就已经创建了 系统会自动为admin生成secret信息
kubectl describe sa admin 查询admin 的secret
kubectl get secrets 确认secret
kubectl describe secrets admin-token-5kqwt 这个serviceaccount只限于连接apiserver登陆认证,但干不了别的事情,需要授权
使用自定义sa
cp pod-demo.yaml pod-sa-demo.yaml
vim pod-sa-demo.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-sa-demo
namespace: default
labels:
app: myapp
tier: frontend
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
serviceAccount: admin 定义pod使用自定义的sa账号 不定义就会自动使用default-token-dkt94
验证
kubectl apply -f pod-sa-demo.yaml
kubectl describe pods pod-sa-demo
Volumes:
admin-token-5kqwt:
Type: Secret (a volume populated by a Secret)
SecretName: admin-token-5kqwt
获取资源模板
kubectl create serviceaccount mysa --dry-run -o yaml > xxxx.yaml 可获取yaml资源模板
kubectl get pods myapp-1 -o yaml --export > xxxx.yaml 获取资源清单
secret
docker-registry docker到docker私有服务认证
generics 其他通用generics
tls 给pod提供证书
与镜像仓库registery认证imagePullSecrets 认证的 secret为docker-registry,也可以使用sa来登陆registry验证,sa定义在pods上
只需要在定义pod资源清单时加上Image pull secret项
kubectl explain pods.spec.imagePullSecrets
kubectl create secret --help
kubectl describe sa admin
Image pull secrets: <none>
人类账号认证 useraccount
Rbac授权
kubectl config –help 管理kubectl配置文件的
kubeconfig
kubectl config view 查看有多少集群
证书存放: /etc/kubernetes/pki/
创建账号:
先创建私钥
(umask 077; openssl genrsa -out mageedu.key 2048)
子shell 加密方式 输出key私钥 私钥大小
结果:mageedu.key
基于私钥去创建证书,由ca.crt签署
先生成证书签署请求
openssl req -new -key mageedu.key -out mageedu.csr -subj "/CN=mageedu"
证书签署请求 指定名称:用户账号
结果: mageedu.csr
签证:用ca.crt去签
openssl x509 -req -in mageedu.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mageedu.crt -days 365
-in 指定签署请求文件 –CA指定ca签 -CAcreateserial 指定CA自己来签
-out 保存为证书文件 -days保存多久
结果: mageedu.crt
查看证书内容
openssl x509 -in mageedu.crt -text -noout
文本输出
把用户账号信息添加到去认证为连入k8s集群的信息
kubectl config set-credentials –help
设置认证
kubectl config set-credentials mageedu --client-certificate=./mageedu.crt --client-key=./mageedu.key --embed-certs=true
mageedu 认证进入集群的认证名,与用户帐号要一样
--client-certificate 指定crt证书
--client-key 指定私钥
--embed-certs 是否隐藏证书
kubectl config view 查看已经创建集群管理员账号
设置上下文contexts,让mageedu,也能去访问集群
kubectl config set-context mageedu@kubernetes --cluster=kubernetes --user=mageedu
上下文名称 指定的集群 指定的登录用户名
- context:
cluster: kubernetes 集群名
user: mageedu 登录名
name: clusteradmin@kubernetes 上下文名
切换账号 等于切换context
kubectl config use-context clusteradmin@kubernetes
测试访问
Kubectl get pods
设置集群
kubectl config set-cluster –help
kubectl config --help
kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://192.168.85.110:6443"
集群名 指定配置文件 指定server
--certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
指定CA证书 是否隐藏CA
验证查看创建的集群cluster
kubectl config view --kubeconfig=/tmp/test.conf