k8s里创建普通用户及认证授权的 kubeconfig 文件

k8s里创建普通用户及认证授权的 kubeconfig 文件

当我们安装好集群后，如果想要把 kubectl 命令交给用户使用，就不得不对用户的身份进行认证和对其权限做出限制。

下面以创建一个 devuser 用户并将其绑定到 dev 和 test 两个 namespace 为例说明。

一：创建 CA 证书和秘钥

创建 devuser-csr.json 文件

{
    "CN": "devuser",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shenzhen",
            "ST": "Shenzhen",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

二：生成 CA 证书和私钥

在 创建 TLS 证书和秘钥 一节中我们将生成的证书和秘钥放在了所有节点的 /etc/kubernetes/ssl 目录下，下面我们再在 master 节点上为 devuser 创建证书和秘钥，在 /etc/kubernetes/ssl 目录下执行以下命令：

执行该命令前请先确保该目录下已经包含如下文件：

ca-key.pem ca.pem ca-config.json devuser-csr.json

[root@k1 ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes devuser-csr.json | cfssljson -bare devuser

2022/02/03 17:15:50 [INFO] generate received request

2022/02/03 17:15:50 [INFO] received CSR

2022/02/03 17:15:50 [INFO] generating key: rsa-2048

2022/02/03 17:15:50 [INFO] encoded CSR

2022/02/03 17:15:50 [INFO] signed certificate with serial number 280906285666438170218397424029223548778737078928

2022/02/03 17:15:50 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for

websites. For more information see the Baseline Requirements for the Issuance and Management

of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);

specifically, section 10.2.3 ("Information Requirements").

这将生成如下文件：

[root@k1 ssl]# ls devuser*

devuser.csr devuser-csr.json devuser-key.pem devuser.pem

三：创建 kubeconfig 文件

# 设置集群参数
export KUBE_APISERVER="https://192.168.10.30:6443"
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=devuser.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials devuser \
--client-certificate=/etc/kubernetes/ssl/devuser.pem \
--client-key=/etc/kubernetes/ssl/devuser-key.pem \
--embed-certs=true \
--kubeconfig=devuser.kubeconfig

# 设置上下文参数
kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=devuser \
--namespace=dev \
--kubeconfig=devuser.kubeconfig

# 设置默认上下文
kubectl config use-context kubernetes --kubeconfig=devuser.kubeconfig

我们现在查看 kubectl 的 context：

[root@k1 ssl]# kubectl config get-contexts

CURRENT NAME CLUSTER AUTHINFO NAMESPACE

• admin kubernetes admin

显示的用户仍然是 admin，这是因为 kubectl 使用了

$HOME/.kube/config 文件作为了默认的 context 配置，我们只需要将其用刚生成的

devuser.kubeconfig 文件替换即可

cp -f ./devuser.kubeconfig /root/.kube/config

四：RoleBinding

如果我们想限制 devuser 用户的行为，需要使用 RBAC创建角色绑定以将该用户的行为限制在某个或某几个 namespace 空间范围内，例如：

kubectl create rolebinding devuser-admin-binding --clusterrole=admin --user=devuser --namespace=dev
kubectl create rolebinding devuser-admin-binding --clusterrole=admin --user=devuser --namespace=test

这样 devuser 用户对 dev 和 test 两个 namespace 具有完全访问权限。

让我们来验证以下，现在我们在执行：

# 获取当前的 context
kubectl config get-contexts

# 无法访问 default namespace
kubectl get pods --namespace default
Error from server (Forbidden): User "devuser" cannot list pods in the namespace "default". (get pods)

# 默认访问的是 dev namespace，您也可以重新设置 context 让其默认访问 test namespace
kubectl get pods
No resources found.

现在 kubectl 命令默认使用的 context 就是 devuser 了，且该用户只能操作 dev 和 test 这两个 namespace，并拥有完全的访问权限