using token to authorization
parent
5466c1b75e
commit
c8116ea8f0
|
@ -23,6 +23,8 @@
|
||||||
|
|
||||||
需要创建一个admin用户并授予admin角色绑定,使用下面的yaml文件创建admin用户并赋予他管理员权限,然后可以通过token访问kubernetes,该文件见[admin-role.yaml](https://github.com/rootsongjc/kubernetes-handbook/tree/master/manifests/dashboard-1.7.1/admin-role.yaml)。
|
需要创建一个admin用户并授予admin角色绑定,使用下面的yaml文件创建admin用户并赋予他管理员权限,然后可以通过token访问kubernetes,该文件见[admin-role.yaml](https://github.com/rootsongjc/kubernetes-handbook/tree/master/manifests/dashboard-1.7.1/admin-role.yaml)。
|
||||||
|
|
||||||
|
#### 生成kubernetes集群最高权限admin用户的token
|
||||||
|
|
||||||
```yaml
|
```yaml
|
||||||
kind: ClusterRoleBinding
|
kind: ClusterRoleBinding
|
||||||
apiVersion: rbac.authorization.k8s.io/v1beta1
|
apiVersion: rbac.authorization.k8s.io/v1beta1
|
||||||
|
@ -49,13 +51,13 @@ metadata:
|
||||||
addonmanager.kubernetes.io/mode: Reconcile
|
addonmanager.kubernetes.io/mode: Reconcile
|
||||||
```
|
```
|
||||||
|
|
||||||
然后执行下面的命令创建 serviceaccount 和角色绑定,对于其他命名空间的其他用户只要修改上述 yaml 中的 `name` 和 `namespace` 字段即可:
|
然后执行下面的命令创建 serviceaccount 和角色绑定,
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
kubectl create -f admin-role.yaml
|
kubectl create -f admin-role.yaml
|
||||||
```
|
```
|
||||||
|
|
||||||
创建完成后获取secret和token的值。
|
创建完成后获取secret中token的值。
|
||||||
|
|
||||||
```bash
|
```bash
|
||||||
# 获取admin-token的secret名字
|
# 获取admin-token的secret名字
|
||||||
|
@ -88,6 +90,26 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
|
||||||
|
|
||||||
我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
|
我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
|
||||||
|
|
||||||
|
更简单的方式是直接使用`kubectl describe`命令获取token的内容(经过base64解码之后):
|
||||||
|
|
||||||
|
```bash
|
||||||
|
kubectl describe secret admin-token-nwphb
|
||||||
|
```
|
||||||
|
|
||||||
|
#### 为普通用户生成token
|
||||||
|
|
||||||
|
为指定namespace分配该namespace的最高权限,这通常是在为某个用户(组织或者个人)划分了namespace之后,需要给该用户创建token登陆kubernetes dashboard或者调用kubernetes API的时候使用。
|
||||||
|
|
||||||
|
每次创建了新的namespace下都会生成一个默认的token,名为`default-token-xxxx`。`default`就相当于该namespace下的一个用户,可以使用下面的命令给该用户分配该namespace的管理员权限。
|
||||||
|
|
||||||
|
```bash
|
||||||
|
kubectl create rolebinding $ROLEBINDING_NAME --clusterrole=admin --serviceaccount=$NAMESPACE:default --namespace=$NAMESPACE
|
||||||
|
```
|
||||||
|
|
||||||
|
- `$ROLEBINDING_NAME`必须是该namespace下的唯一的
|
||||||
|
- `admin`表示用户该namespace的管理员权限,关于使用`clusterrole`进行更细粒度的权限控制请参考[RBAC——基于角色的访问控制](../concepts/rbac.md)。
|
||||||
|
- 我们给默认的serviceaccount `default`分配admin权限,这样就不要再创建新的serviceaccount,当然你也可以自己创建新的serviceaccount,然后给它admin权限
|
||||||
|
|
||||||
## 参考
|
## 参考
|
||||||
|
|
||||||
- [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)
|
- [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)
|
||||||
|
|
|
@ -103,7 +103,7 @@ cp -f ./devuser.kubeconfig /root/.kube/config
|
||||||
|
|
||||||
关于 kubeconfig 文件的更多信息请参考 [使用 kubeconfig 文件配置跨集群认证](../guide/authenticate-across-clusters-kubeconfig.md)。
|
关于 kubeconfig 文件的更多信息请参考 [使用 kubeconfig 文件配置跨集群认证](../guide/authenticate-across-clusters-kubeconfig.md)。
|
||||||
|
|
||||||
## ClusterRoleBinding
|
## ClRoleBinding
|
||||||
|
|
||||||
如果我们想限制 devuser 用户的行为,需要使用 RBAC 将该用户的行为限制在某个或某几个 namespace 空间范围内,例如:
|
如果我们想限制 devuser 用户的行为,需要使用 RBAC 将该用户的行为限制在某个或某几个 namespace 空间范围内,例如:
|
||||||
|
|
||||||
|
|
|
@ -101,7 +101,9 @@ env:
|
||||||
|
|
||||||
这样就可以使用`brand.kubeconfig`文件来登陆dashboard了,而且只能访问和操作`brand`命名空间下的对象。
|
这样就可以使用`brand.kubeconfig`文件来登陆dashboard了,而且只能访问和操作`brand`命名空间下的对象。
|
||||||
|
|
||||||
### 生成 token
|
### 生成集群管理员的token
|
||||||
|
|
||||||
|
以下是为集群最高权限的管理员(可以任意操作所有namespace中的所有资源)生成token的步骤详解。
|
||||||
|
|
||||||
> 注意:登陆dashboard的时候token值是必须的,而kubeconfig文件是kubectl命令所必须的,kubectl命令使用的kubeconfig文件中可以不包含token信息。
|
> 注意:登陆dashboard的时候token值是必须的,而kubeconfig文件是kubectl命令所必须的,kubectl命令使用的kubeconfig文件中可以不包含token信息。
|
||||||
|
|
||||||
|
@ -184,6 +186,8 @@ kubectl -n kube-system get secret admin-token-nwphb -o jsonpath={.data.token}|ba
|
||||||
|
|
||||||
注意我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
|
注意我们使用了 base64 对其重新解码,因为 secret 都是经过 base64 编码的,如果直接使用 kubectl 中查看到的 `token` 值会认证失败,详见 [secret 配置](../guide/secret-configuration.md)。关于 JSONPath 的使用请参考 [JSONPath 手册](https://kubernetes.io/docs/user-guide/jsonpath/)。
|
||||||
|
|
||||||
|
**注意**:关于如何给其它namespace的管理员生成token请参考[使用kubeconfig或token进行用户身份认证](../guide/auth-with-kubeconfig-or-token.md)。
|
||||||
|
|
||||||
## 参考
|
## 参考
|
||||||
|
|
||||||
- [Dashboard log in mechanism #2093](https://github.com/kubernetes/dashboard/issues/2093)
|
- [Dashboard log in mechanism #2093](https://github.com/kubernetes/dashboard/issues/2093)
|
||||||
|
|
|
@ -95,7 +95,7 @@ kubectl config use-context kubernetes --kubeconfig=${USER}.kubeconfig
|
||||||
kubectl create ns $USER
|
kubectl create ns $USER
|
||||||
|
|
||||||
# 绑定角色
|
# 绑定角色
|
||||||
kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER
|
kubectl create rolebinding ${USER}-admin-binding --clusterrole=admin --user=$USER --namespace=$USER --serviceaccount=$USER:default
|
||||||
|
|
||||||
kubectl config get-contexts
|
kubectl config get-contexts
|
||||||
|
|
||||||
|
|
Loading…
Reference in New Issue