当前位置：首页 > news >正文

HCIE-kubernetes(k8s)-Authentication身份验证

news 2026/3/28 5:39:21

1、远程登录

1、kubeconfig方式
在master上都是以kubeconfig方式登录的，并不是说有一个文件叫kubeconfig。
默认使用的配置文件是~/.kube/config 这个配置文件，而这个配置文件是通过这个文件/etc/kubernetes/admin.conf

如果在node上执行命令，也需要配置该文件，否则报错如下：
[root@node1 ~]# kubectl get node
E1103 15:42:46.225278  129198 memcache.go:265] couldn't get current server API group list: Get "http://localhost:8080/api?timeout=32s": dial tcp [::1]:8080: connect: connection refused
E1103 15:42:46.226197  129198 memcache.go:265] couldn't get current server API group list: Get "http://localhost:8080/api?timeout=32s": dial tcp [::1]:8080: connect: connection refused
E1103 15:42:46.228511  129198 memcache.go:265] couldn't get current server API group list: Get "http://localhost:8080/api?timeout=32s": dial tcp [::1]:8080: connect: connection refused
E1103 15:42:46.230491  129198 memcache.go:265] couldn't get current server API group list: Get "http://localhost:8080/api?timeout=32s": dial tcp [::1]:8080: connect: connection refused
E1103 15:42:46.232909  129198 memcache.go:265] couldn't get current server API group list: Get "http://localhost:8080/api?timeout=32s": dial tcp [::1]:8080: connect: connection refused
The connection to the server localhost:8080 was refused - did you specify the right host or port?

可以在master拷贝一份/etc/kubernetes/admin.conf到node1
[root@master ~]# cd /etc/kubernetes
[root@master kubernetes]# scp admin.conf 10.1.1.201:~
在node1上执行命令的时候，直接指定该文件运行。
[root@node1 ~]# kubectl get node --kubeconfig=admin.conf
NAME     STATUS   ROLES           AGE   VERSION
master   Ready    control-plane   8d    v1.27.0
node1    Ready    <none>          8d    v1.27.0
node2    Ready    <none>          8d    v1.27.0
如果不想指定配置文件，可以直接配置环境变量。
[root@node1 ~]# echo 'export KUBECONFIG=admin.conf' >> /etc/profile
[root@node1 ~]# source /etc/profile
[root@node1 ~]# kubectl get node
NAME     STATUS   ROLES           AGE   VERSION
master   Ready    control-plane   8d    v1.27.0
node1    Ready    <none>          8d    v1.27.0
node2    Ready    <none>          8d    v1.27.0
这样就不需要指定配置文件了。
注意：该admin.conf文件是直接从master上拷贝过来的，所以默认具备admin管理员最大的权限的。
生产环境不建议这样操作，因为权限过大，无法保证安全性。

例如单独创建用户tom授权

1、生成私钥
[root@master kubernetes]# mkdir /ca
[root@master kubernetes]# cd /ca
[root@master ca]# openssl genrsa -out client.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.....................................+++++
.......+++++
e is 65537 (0x010001)
[root@master ca]# ls
client.key

2、生成tom用户证书请求文件
[root@master ca]# openssl req -new -key client.key -subj "/CN=tom" -out client.csr
[root@master ca]# ls
client.csr  client.key
k8s本身使用的一些ca证书，是在/etc/kubernetes/pki/目录下
[root@master ca]# ls /etc/kubernetes/pki/
apiserver.crt              apiserver-etcd-client.key  apiserver-kubelet-client.crt  ca.crt  etcd                front-proxy-ca.key      front-proxy-client.key  sa.pub
apiserver-etcd-client.crt  apiserver.key              apiserver-kubelet-client.key  ca.key  front-proxy-ca.crt  front-proxy-client.crt  sa.key

3、为tom用户颁发证书
tom如何将请求发给k8s的ca进行证书颁发呢？使用kubernetes自带的ca为tom颁发证书。
[root@master ca]# openssl x509 -req -in client.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial  -out client.crt -days 3650
Signature ok
subject=CN = tom
Getting CA Private Key
[root@master ca]# ls
client.crt  client.csr  client.key
拷贝ca证书到当前目录
[root@master ca]# cp /etc/kubernetes/pki/ca.crt .
[root@master ca]# ls
ca.crt  client.crt  client.csr  client.key

4、创建测试命名空间及pod
[root@master ca]# kubectl create namespace hehe
namespace/hehe created
[root@master ca]# kubens hehe
Context "kubernetes-admin@kubernetes" modified.
Active namespace is "hehe".
[root@master ca]# kubectl get pod
No resources found in hehe namespace.
[root@master ca]# kubectl run pod1 --image nginx --image-pull-policy IfNotPresent --dry-run=client -o yaml > pod1.yaml
[root@master ca]# kubectl apply -f pod1.yaml
pod/pod1 created
[root@master ca]# kubectl get pod
NAME   READY   STATUS    RESTARTS   AGE
pod1   1/1     Running   0          7s

5、创建角色和授权
创建角色，使其对hehe命名空间具有get/watch/list权限
[root@master ca]# kubectl create role r1 --verb get --verb watch --verb list --resource pods -n hehe
role.rbac.authorization.k8s.io/r1 created
查看角色：[root@master ca]# kubectl get role
NAME   CREATED AT
r1     2023-11-03T09:07:10Z
详细查看：[root@master ca]# kubectl describe role r1
Name:         r1
Labels:       <none>
Annotations:  <none>
PolicyRule:Resources  Non-Resource URLs  Resource Names  Verbs---------  -----------------  --------------  -----pods       []                 []              [get watch list]

6、将角色绑定给tom用户
[root@master ca]# kubectl create rolebinding r1binding --role r1 --user tom -n hehe
rolebinding.rbac.authorization.k8s.io/r1binding created
[root@master ca]# kubectl get rolebindings.rbac.authorization.k8s.io
NAME        ROLE      AGE
r1binding   Role/r1   17s
[root@master ca]# kubectl describe rolebindings.rbac.authorization.k8s.io
Name:         r1binding
Labels:       <none>
Annotations:  <none>
Role:Kind:  RoleName:  r1
Subjects:Kind  Name  Namespace----  ----  ---------User  tom

7、编辑kuberconfig文件
官网，https://kubernetes.io/zh-cn/docs/concepts/configuration/organize-cluster-access-kubeconfig/
[root@master ca]# vim kubeabc
[root@master ca]# vim kubeabc
[root@master ca]# cat kubeabc
apiVersion: v1
kind: Configclusters:
- cluster:name: dev1users:
- name: tomcontexts:
- context:name: context1namespace: hehe
current-context: "context1"设置集群密钥信息（嵌入集群密钥）
[root@master ca]# kubectl config --kubeconfig=kubeabc set-cluster dev1 --server=https://10.1.1.200:6443 --certificate-authority=ca.crt --embed-certs=true
Cluster "dev1" set.
设置tom用户密钥信息
[root@master ca]# kubectl config --kubeconfig=kubeabc set-credentials tom --client-certificate=client.crt --client-key=client.key --embed-certs=true
User "tom" set.
设置上下文信息
[root@master ca]# kubectl config --kubeconfig=kubeabc set-context context1 --cluster=dev1 --namespace=hehe --user=tom
Context "context1" modified.

8、测试
拷贝至客户端node2并测试
[root@master ca]# scp kubeabc 10.1.1.202:~
[root@node2 ~]# kubectl get pod --kubeconfig=kubeabc
NAME   READY   STATUS    RESTARTS   AGE
pod1   1/1     Running   0          24m
这样客户端node2就以tom身份登录到k8s集群中，进行管理操作了。
[root@node2 ~]# export KUBECONFIG=kubeabc
[root@node2 ~]# kubectl get pod
NAME   READY   STATUS    RESTARTS   AGE
pod1   1/1     Running   0          26m

HCIE-kubernetes(k8s)-Authentication身份验证

1、远程登录 1、kubeconfig方式在master上都是以kubeconfig方式登录的，并不是说有一个文件叫kubeconfig。默认使用的配置文件是~/.kube/config 这个配置文件，而这个配置文件是通过这个文件/etc/kubernetes/admin.conf 如果在node上执行命令&#xff…...

编程日记 2023/11/5 7:15:11

uniapp开发小程序接入阿里云TTS语音合成（RESTful API）

流程首先小程序后台配置白名单 1.1 路径：开发-开发管理-开发设置-服务器域名-request合法域名 1.2 request合法域名参数： https://nls-meta.cn-shanghai.aliyuncs.com https://nls-gateway-cn-shanghai.aliyuncs.com引入alitts.js页面使用…...

编程日记 2023/11/5 7:14:09

稳定性测试—fastboot和monkey区别

一、什么是稳定性测试稳定性测试是指检验程序在一定时间内能否稳定地运行，在不同的场景下能否正常地工作的过程。主要目的是检测崩溃、内存泄漏、堆栈错误等缺陷。二、Monkey 1.什么是Monkey 是一个命令行工具，通常在adb安卓调试运行，模…...

编程日记 2023/11/5 7:13:08

Python库Requests的爬虫程序爬取视频通用模版

目录一、引言二、Requests库介绍三、通用视频爬虫模板设计 1、确定目标网站和视频页面结构 2、发送HTTP请求获取页面内容 3、解析HTML内容提取视频链接 4、下载视频文件四、模板应用与实践五、注意事项总结与展望一、引言随着互联网的发展，视频内…...

编程日记 2023/11/5 7:11:05

ngx_http_set_response_header阅读

1.关于设置头的一些函数指针初始化 typedef struct {ngx_str_t name;ngx_uint_t offset;// 本文中搜索 h[i].handler(r, &h[i], &value，就是回调函数执行的地方ngx_http_set_header_pt handler; } ngx_http_set_hea…...

编程日记 2023/11/5 7:10:04

词典查询工具django-mdict

什么是 django-mdict ？ django-mdict 不是词典软件，是词典查询的脚本工具，主要目的是解决词典数量多，手机容量不足的问题，是对其他词典软件局域网在线查询功能的补充，是用 django 实现的 mdict 词典查询工具…...

编程日记 2023/11/5 7:09:03

Ubuntu20.04搭建RISC-V和qemu环境

1. 前言 risc-v是一个非常有潜力的指令集框架，最近对其产生了浓厚的兴趣，由于之前对于这方面的知识储备很少，在加上网上的教程都是点到为止，所以安装过程异常曲折。好在最后一步一步积累摸索，终于利用源码安装完成。看…...

编程日记 2023/11/5 7:08:01

代码生成器

Easycode Entity ##导入宏定义 $!{define.vm}##保存文件（宏定义） #save("/entity", ".java")##包路径（宏定义） #setPackageSuffix("entity")##自动导入包（全局变量） $!{au…...

编程日记 2023/11/5 7:05:57

AndroidMonitor - 基于AndroidLocalService实现的抓取OKHTTP请求的工具

官网 GitHub - lygttpod/AndroidMonitor: easy show android okhttp request data 项目简介 Demo下载体验文章介绍---->Android抓包从未如此简单切记：monitor需要配合monitor-plugin使用 1、monitor接入添加依赖 debugImplementation io.github.lygttp…...

编程日记 2023/11/5 7:04:57

LuatOS-SOC接口文档(air780E)--nbiot - NB-IOT操作库

nbiot.isReady()# 网络是否就绪参数无返回值返回值类型解释 boolean 已联网返回true,否则返回false 例子 -- 判断是否已经联网 if nbiot.isReady() then log.info("nbiot", "net is ready") endnbiot.imsi() 读取IMSI 参数无返回值 …...

编程日记 2023/11/5 7:03:56

大数据之LibrA数据库系统告警处理（ALM-12017 磁盘容量不足）

告警解释系统每30秒周期性检测磁盘使用率，并把磁盘使用率和阈值相比较。磁盘使用率有一个默认阈值，当检测到磁盘使用率超过阈值时产生该告警。平滑次数为1，主机磁盘某一分区使用率小于或等于阈值时，告警恢复；平滑次…...

编程日记 2023/11/5 7:02:55

Python算法例4 求平方根

1. 问题描述实现int sqrt（int x）函数，计算并返回x的平方根。 2. 问题示例 sqrt（3）1；sqrt（4）2；sqrt（5）2；sqrt（17&#…...

编程日记 2023/11/5 7:01:54

LVGL_多界面切换

LVGL_多界面切换 1、创建多个界面（create_page1();） 2、加载一个界面显示（lv_scr_load(page1);） 3、切换不同界面显示（lv_scr_load_anim(page2, LV_SCR_LOAD_ANIM_OVER_LEFT, 300, 0, false);） static lv_…...

编程日记 2023/11/5 7:00:54

C/C++输出字符菱形 2021年3月电子学会青少年软件编程（C/C++）等级考试一级真题答案解析

目录 C/C输出字符菱形一、题目要求 1、编程实现 2、输入输出二、算法分析三、程序编写四、程序说明五、运行结果六、考点分析 C/C输出字符菱形 2021年3月 C/C编程等级考试一级编程题一、题目要求 1、编程实现给定一个字符，用它构造一个对角线长…...

编程日记 2023/11/5 6:59:53

DI93a HESG440355R3 通过其Achilles级认证提供网络安全

DI93a HESG440355R3 通过其Achilles级认证提供网络安全施耐德电气宣布推出Modicon M580以太网PAC (ePAC)自动化控制器，该控制器采用开放式以太网标准，通过其Achilles级认证提供网络安全。M580 ePAC使工厂操作员能够设计、实施和运行一个积极利用开放网…...

编程日记 2023/11/5 6:58:52

Go中Panic and Recover

什么是Panic？ 在 Go 程序中处理异常情况的惯用方法是使用errors.。errors足以应对程序中出现的大多数异常情况。 **但有些情况下，程序在出现异常情况后无法继续执行。在这种情况下，我们使用panic提前终止程序。当函数遇到恐慌时&#xff0c…...

编程日记 2023/11/5 6:57:49

webpack 与 grunt、gulp 的不同?

结论先行： Webpack、Grunt 和 Gulp 都是前端开发中常用的构建工具，但是 Webpack 是基于模块化打包的工具，并支持模块化开发。而 Grunt 和 Gulp 都是基于任务的构建工具，自动执行指定的任务，但不支持模块化开发。 1、相…...

编程日记 2023/11/5 6:56:48

园区网真实详细配置大全案例

实现要求： 1、只允许行政部电脑对全网telnet管理 2、所有dhcp都在核心 3、wifi用户只能上外网，不能访问局域网其它电脑 4、所有接入交换机上bpdu保护 5、只允许vlan 10-40上网 5、所有接入交换机开dhcp snoop 6、所有的交换机指定核心交换机为ntp时间服务…...

编程日记 2023/11/5 6:55:46

小程序video标签在底部出现1px无法去除的黑色线

问题描述参见社区问题详情此问题只会在ios手机真机中出现，视频底部出现1px无法去除的黑色线解决方法 1.尝试过video各种配置，以为是设置参数导致 2.尝试过父元素设置height：200px；overflow：hidden；vi…...

编程日记 2023/11/5 6:53:43

渗透工具使用及思路总结（持续更新）

扫描类 nmap 快速扫描开放端口 nmap --min-rate 10000 -p- 10.129.252.63扫描详细全服务 nmap -sV -A -p 22,80 10.129.252.63 nmap -sV -A -p- 10.129.252.63-l：显示正在监听的 TCP 和 UDP 端口； -a：显示所有活动的 TCP 连接； -A <网络类型>或 - <网络类型&g…...

编程日记 2023/11/5 6:52:42

知识点总结--day09(Mybatis及Mybatis-Plus)

目录 1、系统架构流程? 2结果集映射? 3mapper传参? 4、xml常用配置 5、缓存机制 6、分页插件 7、Mybatis-Plus常用API 末尾页 1、系统架构流程? 执行过程： mybatis配置 mybatis-config.xml，名称可变，此文件作为mybatis的全局配置…...

编程新知 2026/3/28 5:36:05

MecanumBase：轻量级全向轮运动学逆解C库

1. MecanumBase 库概述MecanumBase 是一个专为全向移动机器人设计的轻量级底层控制库，核心目标是将复杂的轮式运动学解耦为工程师可直观理解的输入指令：平移方向角（θ）与旋转角速度（ω）。该库不依赖任何特定…...

编程新知 2026/3/28 2:28:52

pykg2vec功能mastery：知识图谱嵌入模型的高级配置与优化

pykg2vec功能mastery：知识图谱嵌入模型的高级配置与优化【免费下载链接】pykg2vec 项目地址: https://gitcode.com/gh_mirrors/py/pykg2vec 问题导入知识图谱嵌入模型训练中，开发者常面临三大痛点：模型参数调优耗时且效果不佳、不…...

编程新知 2026/3/28 2:22:51

LuckyLilliaBot QQ群管理自动化实战指南：从零搭建高效智能管理方案

LuckyLilliaBot QQ群管理自动化实战指南：从零搭建高效智能管理方案【免费下载链接】LuckyLilliaBot NTQQ的OneBot API插件项目地址: https://gitcode.com/gh_mirrors/li/LuckyLilliaBot LuckyLilliaBot是一款基于NTQQ客户端与OneBot11协议的QQ机器人开发框…...

编程新知 2026/3/28 1:33:46

使用AI大大提升了学习代码的效率

最近看到一个观点，说AI的发展导致代码越来越不值钱了，AI降低了我们学习的门槛，大大提升了学习效率。好像很多程序都可以一个人一天上架一款产品。或许有夸张成分，但像我们普通人都体验到了AI的方便，比如在项目开发的过…...

编程新知 2026/3/28 1:09:38

客服服务时长难统计？RPA自动记时长，排班更合理

RPA在客服服务时长统计中的应用客服服务时长的准确统计是优化排班和提高效率的关键。传统手动统计方式存在误差大、效率低等问题。RPA（机器人流程自动化）技术可以自动记录客服工作时长，为排班提供数据支持。RPA自动记录客服工作时长的实现方式…...

编程新知 2026/3/28 0:05:12

从零搭建SRS流媒体服务器：实现RTMP推拉流的实战部署指南

1. 为什么选择SRS搭建流媒体服务器？ 最近几年直播和实时视频的需求爆发式增长，很多开发者都在寻找轻量高效的流媒体服务器方案。我测试过不少开源方案，最终发现SRS（Simple Realtime Server）是最适合个人和小团队自建的…...

编程新知 2026/3/27 23:06:35

用Python的powerlaw库分析游戏付费数据：从‘鲸鱼玩家’到长尾分布，手把手教你做实战分析

用Python的powerlaw库解析游戏付费行为：从数据清洗到商业决策全流程游戏行业的数据分析师们常常面临一个经典问题：如何理解玩家付费行为背后的数学规律？当我们打开一份付费数据报表，往往会发现少数"鲸鱼玩家"贡献了绝…...

编程新知 2026/3/27 22:06:04

数字减影血管造影系统市场洞察：至2032年将攀升至557.6亿元

据恒州诚思最新调研数据显示，2025年全球数字减影血管造影系统（DSA）市场规模预计达386.7亿元，至2032年将攀升至557.6亿元，2026-2032年复合增长率（CAGR）为5.5%。这一增长受全球老龄化加速、心血管…...

编程新知 2026/3/27 21:25:48

[DRAM Test]从入门到精通：全面解析DRAM内存测试工具与实战故障排查

1. DRAM测试工具全景解析内存作为计算机系统的核心组件，其稳定性直接影响整机性能。我经手过的蓝屏案例中，超过60%最终都指向内存问题。目前市面上的DRAM测试工具主要分为三大类： 应用层工具以HCI MemTest为代表，这类工具运行在操…...

编程新知 2026/3/27 20:59:43

1、远程登录

相关文章：