網上很少有地方涉及到在角色授權時，如何對User Group授權。我們都知道在做角色綁定的時候，會有kind: User，kind: Group，但是實際上，Kubernetes并沒有提供User、Group資源創(chuàng)建接口，那這兩個怎么使用呢？下面以一個實例來說明一下

為勃利等地區(qū)用戶提供了全套網頁設計制作服務，及勃利網站建設行業(yè)解決方案。主營業(yè)務為成都網站制作、網站建設、勃利網站設計，以傳統(tǒng)方式定制建設網站，并提供域名空間備案等一條龍服務，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

前提條件：kube-apiserver必須是運行在安全端口模式下，這里基于CA根證書簽名的雙向數字證書認證方式。

1、先創(chuàng)建Role

role-demo.yaml 內容如下：

apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata:  name: pods-reader  namespace: default rules: - apiGroups:  - ""  resources:  - pods  verbs:  - get  - list  - watch

2、綁定角色，將權限授予到真正角色上

編輯rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata:   creationTimestamp: null   name: kubelet-read-pods roleRef:   apiGroup: rbac.authorization.k8s.io   kind: Role   name: pods-reader subjects: - apiGroup: rbac.authorization.k8s.io   kind: Group   name: app1

這里將賦予組app1只能查看namespace為default的pod權限。Kind也可以為user。

3、創(chuàng)建用戶和組

現在就可以創(chuàng)建用戶和組，CA的方式通過openssl就可以做到

3.1創(chuàng)建用戶jbeda,并同時屬于組app1、app2

openssl  genrsa -out jbeda.key 2048 openssl req -new -key jbeda.key -out jbeda.csr -subj "/CN=jbeda/O=app1/O=app2" openssl x509 -req -in jbeda.csr -CA  ca.crt -CAkey ca.key -CAcreateserial -out jbeda.crt -days 365

將 jbeda.key、jbeda.crt 復制到/etc/kubernetes/ssl/目錄下

l jbeda/O=app1/O=app2 這個代表創(chuàng)建了用戶jbeda，且該用戶屬于組app1、app2

l ca.crt ca.key是根證書，這個是為kube-apiserver創(chuàng)建的，所有的客戶端都是利用它簽名的。這里不重復它的創(chuàng)建過程。

3.2測試權限

? 配置使用的調用接口使用的角色

這里使用kubectl，編譯~/.kube/config

apiVersion: v1 kind: Config clusters:  -  cluster:      server: https://10.8.8.27:6443      certificate-authority: /etc/kubernetes/ssl/ca.crt     name: local users:  -  name: jbeda    user:      client-certificate : /etc/kubernetes/ssl/jbeda.crt      client-key: /etc/kubernetes/ssl/jbeda.key contexts:  -  context:       cluster: local       user: jbeda     name: local current-context: local

? 查看pod

查看kubectl當前使用的config

可以看到只能查看namespace為default下的pod信息

RBAC還可以用service account的方式認證，網上有太多資料，這里不多做介紹。

另外有需要云服務器可以了解下創(chuàng)新互聯cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站欄目：kubernetes基于角色授權-創(chuàng)新互聯
當前地址：http://aaarwkj.com/article10/pjego.html

成都網站建設公司_創(chuàng)新互聯，為您提供ChatGPT、移動網站建設、外貿建站、網站維護、商城網站、網站策劃

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯