当前位置：首页 > news >正文

kubernetes集群编排——k8s认证授权

news 2025/9/29 12:51:13

pod绑定sa

[root@k8s2 ~]# kubectl create sa admin

[root@k8s2 secret]# vim pod5.yaml

apiVersion: v1
kind: Pod
metadata:name: mypod
spec:serviceAccountName: admincontainers:- name: nginximage: nginx

kubectl apply -f pod5.yamlkubectl get pod -o yaml

认证

[root@k8s2 secret]# cd /etc/kubernetes/pki/
[root@k8s2 pki]# openssl genrsa -out test.key 2048
[root@k8s2 pki]# openssl req -new -key test.key -out test.csr -subj "/CN=test"
[root@k8s2 pki]# openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365

[root@k8s2 pki]#  kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
[root@k8s2 pki]# kubectl config set-context test@kubernetes --cluster=kubernetes --user=test
[root@k8s2 pki]# kubectl config view

切换用户

[root@k8s2 pki]# kubectl config use-context test@kubernetes[root@k8s2 pki]# kubectl get pod

默认用户没有任何权限，需要授权

切回admin

[root@k8s2 pki]# kubectl config use-context kubernetes-admin@kubernetes

[root@k8s2 rbac]# vim roles.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:namespace: defaultname: myrole
rules:
- apiGroups: [""]resources: ["pods"]verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: test-read-podsnamespace: default
subjects:
- kind: Username: testapiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: myroleapiGroup: rbac.authorization.k8s.io

[root@k8s2 rbac]# kubectl apply -f roles.yaml

[root@k8s2 rbac]# kubectl config use-context test@kubernetes

[root@k8s2 rbac]# kubectl run demo --image nginx[root@k8s2 rbac]# kubectl get pod

现在只能操作pod资源，其它不行

[root@k8s2 rbac]# kubectl get deployments.apps

切回admin

[root@k8s2 rbac]# kubectl config use-context kubernetes-admin@kubernetes

授权

[root@k8s2 rbac]# vim clusteroles.yaml

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: myclusterrole
rules:
- apiGroups: [""]resources: ["pods"]verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]resources: ["deployments"]verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding                      #RoleBinding必须指定namespace
metadata:name: rolebind-myclusterrolenamespace:  default
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.iokind: Username: test---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding               #ClusterRoleBinding全局授权，无需指定namespace
metadata:name: clusterrolebinding-myclusterrole
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.iokind: Username: test

[root@k8s2 rbac]# kubectl apply -f clusteroles.yaml

[root@k8s2 rbac]# kubectl config use-context test@kubernetes[root@k8s2 rbac]# kubectl get deployments.apps -A

切回admin

[root@k8s2 rbac]# kubectl config use-context kubernetes-admin@kubernetes

回收

[root@k8s2 rbac]# kubectl delete -f roles.yaml[root@k8s2 rbac]# kubectl config delete-user test[root@k8s2 rbac]# kubectl config delete-context test@kubernetes

kubernetes集群编排——k8s认证授权

pod绑定sa [rootk8s2 ~]# kubectl create sa admin [rootk8s2 secret]# vim pod5.yaml apiVersion: v1 kind: Pod metadata:name: mypod spec:serviceAccountName: admincontainers:- name: nginximage: nginxkubectl apply -f pod5.yamlkubectl get pod -o yaml 认证 [rootk8s…...

编程日记 2023/11/12 15:48:43

rabbitmq下载安装教程

1.首先需要下载erlang和rabbitmq安装包： 官网下载比较慢，通过网盘下载： 链接：https://pan.baidu.com/s/1fM2BrJqefyzUDZD4tfZLIg 提取码：5hsu 2.安装，傻瓜式安装就可以，可以自定义自己要安装的目…...

编程日记 2023/11/12 15:46:41

数据分析实战 | SVM算法——病例自动诊断分析

目录一、数据分析及对象二、目的及分析任务三、方法及工具四、数据读入五、数据理解六、数据准备七、模型训练八、模型应用及评价一、数据分析及对象 CSV文件——“bc_data.csv” 数据集链接：https://download.csdn.net/download/m0_70452407/88…...

编程日记 2023/11/12 15:44:40

Splunk Connect for Kafka – Connecting Apache Kafka with Splunk

1: 背景： 1: splunk 有时要去拉取kafka 上的数据：下面要用的有用的插件：Splunk Connect for Kafka 先说一下这个Splunk connect for kafka 是什么： What is Splunk Connect for Kafka? Spunk Connect for Kafka is a “sink connector” built on the Kafka Connect…...

编程日记 2023/11/12 15:43:39

Unity | Shader（着色器）和material（材质）的关系

一、前言在上一篇文章中【精选】Unity | Shader基础知识（什么是shader）_unity shader_菌菌巧乐兹的博客-CSDN博客我们讲了什么是shader，今天我们讲一下shder和material的关系二、在unity中shader的本质 unity中，shader就…...

编程日记 2023/11/12 15:42:38

Leetcode—69.x的平方根【简单】

2023每日刷题（二十七） Leetcode—69.x的平方根直接法实现代码 int mySqrt(int x) {long long i 0;while(i * i < x) {i;}if(i * i > x) {return i - 1;}return i; }运行结果二分法实现代码 int mySqrt(int x) {long long left 0, right (l…...

编程日记 2023/11/12 15:40:35

再探单例模式

再探单例模式一：故事背景二：单例重点三：总结提升一：故事背景最近在进行单例模式的复习，今天进行一下对应的总结，分析一下各个设计模式。今天从最简单的单例模式开始。二：单例重点概念一…...

编程日记 2023/11/12 15:38:30

Postman使用json提取器和正则表达式实现接口的关联

近期在复习Postman的基础知识，在小破站上跟着百里老师系统复习了一遍，也做了一些笔记，希望可以给大家一点点启发。一）使用json提取器实现接口关联实际项目场景，在财务信息页面，需要上传一个营业执照&…...

编程日记 2023/11/12 15:37:29

【11.10】现代密码学1——密码学发展史：密码学概述、安全服务、香农理论、现代密码学

密码学发展史写在最前面密码学概述现代密码学量子密码学基本术语加解密的通信模型对称加密PKI通信工作流程古典密码与分析古代密码的加密古典密码的分析安全服务香农理论现代密码学乘积密码方案代换-置换网络安全性概念可证明安全性——规约（*规约证明的方案——…...

编程日记 2023/11/12 15:36:27

时间序列预测实战(九)PyTorch实现LSTM-ARIMA融合移动平均进行长期预测

一、本文介绍本文带来的是利用传统时间序列预测模型ARIMA(注意：ARIMA模型不属于机器学习)和利用PyTorch实现深度学习模型LSTM进行融合进行预测，主要思想是->先利用ARIMA先和移动平均结合处理数据的线性部分（例如趋势和季节性&#xff09…...

编程日记 2023/11/12 15:35:26

由日期计算当天是星期几

题目输入：一个合法的公历日期，格式为“XXXXXXXX”，分别代表年（4 位）、月（2 位）、日（2 位）。输出：当日对应星期几的英语缩写（3 个字母&#xff…...

编程日记 2023/11/12 15:34:25

springboot模板引擎

1.服务端渲染时相比与前后端分离开发原理是跳过前端这一层直接到服务端通过数据和模板生成页面返回前端 springboot包含如下模板引擎典型如thymeleaf 1>导入依赖 2>查看路径模板页面在 public static final String DEFAULT_PREFIX “classpath:/templates/”; 即…...

编程日记 2023/11/12 15:33:24

如何判断从本机上传到服务器的文件数据内容是一致的？用md5加密算法！

问题场景最近在帮导师做横向，我想把整个项目环境放到服务器中，需要把一个很大的数据文件传到服务器，传上去很方便，但是涉及到文件的压缩上传和服务器内解压环节，不是太确定文件在本机和服务器的数据内容是否一致。解…...

编程日记 2023/11/12 15:32:24

Ubuntu 20.04 DNS解析原理, 解决resolv.conf被覆盖问题

------------------------------------------------------------------ author: hjjdebug date: 2023年 11月 09日星期四 14:01:11 CST description: Ubuntu 20.04 DNS解析原理, 解决resolv.conf被覆盖问题 ----------------------------------------------------------------…...

编程日记 2023/11/12 15:31:23

探索经典算法：贪心、分治、动态规划等

1.贪心算法贪心算法是一种常见的算法范式，通常在解决最优化问题中使用。贪心算法是一种在每一步选择中都采取当前状态下最优决策的算法范式。其核心思想是选择每一步的最佳解决方案，以期望达到最终的全局最优解。这种算法特点在于只考虑局部最优解&am…...

编程日记 2023/11/12 15:30:22

【Linux】编译Linux内核

之所以编译内核，是因为gem5全系统仿真需要vmlinux文件，在此记录一下以备后面需要。此过程编译之后会获得vmlinux和bzImage两个文件； 主要参考知行大佬的编译内核与gem5官方教程文章目录一、Linux源码下载二、安装编译依赖三、编译1. 内核编…...

编程日记 2023/11/12 15:29:20

网页判断版本更新

一、需求解析为什么我会想到这个技术呢，是因为我有一次发现，我司的用户在使用网页的时候，经常会出现一个页面放很久，下班也不关这个页面，这样就会导致页面的代码长时间处于不更新的状态。在使用到一个功能出了bug&a…...

编程日记 2023/11/12 15:27:17

ros1 基础学习08- 实现Server端自定义四 Topic模式控制海龟运动

一、服务模型 Server端本身是进行模拟海龟运动的命令端，它的实现是通过给海龟发送速度（Twist）的指令，来控制海龟运动（本身通过Topic实现）。 Client端相当于海龟运动的开关，其发布Request来控制…...

编程日记 2023/11/12 15:26:16

面试题之TCP粘包现象及其解决方法

计算机网络每层的基本单位：物理层（第一层）：比特流；数据链路层（第二层）：数据帧；网络层（第三层）：数据包；传输层（…...

编程日记 2023/11/12 15:25:15

Word 插入的 Visio 图片显示为{EMBED Visio.Drawing.11} 解决方案

World中，如果我们插入了Visio图还用了Endnote， 就可能出现：{EMBED Visio.Drawing.11}问题解决方案： 1.在相应的文字上右击，在出现的快捷菜单中单击“切换域代码”，一个一个的修复。 2.在菜单工具–>…...

编程日记 2023/11/12 15:24:14

[特殊字符] 智能合约中的数据是如何在区块链中保持一致的？

🧠 智能合约中的数据是如何在区块链中保持一致的？ 为什么所有区块链节点都能得出相同结果？合约调用这么复杂，状态真能保持一致吗？本篇带你从底层视角理解“状态一致性”的真相。一、智能合约的数据存储在哪里&#xf…...

编程新知 2025/7/12 23:55:04

Java 语言特性(面试系列2)

一、SQL 基础 1. 复杂查询 （1）连接查询（JOIN） 内连接（INNER JOIN）：返回两表匹配的记录。 SELECT e.name, d.dept_name FROM employees e INNER JOIN departments d ON e.dept_id d.dept_id; 左…...

编程新知 2025/7/12 7:16:15

Vue3 + Element Plus + TypeScript中el-transfer穿梭框组件使用详解及示例

使用详解 Element Plus 的 el-transfer 组件是一个强大的穿梭框组件，常用于在两个集合之间进行数据转移，如权限分配、数据选择等场景。下面我将详细介绍其用法并提供一个完整示例。核心特性与用法基本属性 v-model：绑定右侧列表的值&…...

编程新知 2025/9/28 4:25:49

高等数学（下）题型笔记（八）空间解析几何与向量代数

目录 0 前言 1 向量的点乘 1.1 基本公式 1.2 例题 2 向量的叉乘 2.1 基础知识 2.2 例题 3 空间平面方程 3.1 基础知识 3.2 例题 4 空间直线方程 4.1 基础知识 4.2 例题 5 旋转曲面及其方程 5.1 基础知识 5.2 例题 6 空间曲面的法线与切平面 6.1 基础知识 6.2…...

编程新知 2025/9/28 3:30:08

【Go】3、Go语言进阶与依赖管理

前言本系列文章参考自稀土掘金上的【字节内部课】公开课，做自我学习总结整理。 Go语言并发编程 Go语言原生支持并发编程，它的核心机制是 Goroutine 协程、Channel 通道，并基于CSP（Communicating Sequential Processes&#xff0…...

编程新知 2025/7/11 5:22:11

精益数据分析（97/126）：邮件营销与用户参与度的关键指标优化指南

精益数据分析（97/126）：邮件营销与用户参与度的关键指标优化指南在数字化营销时代，邮件列表效度、用户参与度和网站性能等指标往往决定着创业公司的增长成败。今天，我们将深入解析邮件打开率、网站可用性、页面参与时…...

编程新知 2025/6/25 2:48:04

优选算法第十二讲：队列 + 宽搜优先级队列

优选算法第十二讲：队列宽搜 && 优先级队列 1.N叉树的层序遍历2.二叉树的锯齿型层序遍历3.二叉树最大宽度4.在每个树行中找最大值5.优先级队列 -- 最后一块石头的重量6.数据流中的第K大元素7.前K个高频单词8.数据流的中位数 1.N叉树的层序遍历 2.二叉树的锯…...

编程新知 2025/9/23 15:59:01

今日学习：Spring线程池|并发修改异常|链路丢失|登录续期|VIP过期策略|数值类缓存

文章目录优雅版线程池ThreadPoolTaskExecutor和ThreadPoolTaskExecutor的装饰器并发修改异常并发修改异常简介实现机制设计原因及意义使用线程池造成的链路丢失问题线程池导致的链路丢失问题发生原因常见解决方法更好的解决方法设计精妙之处登录续期登录续期常见实现方式特…...

编程新知 2025/9/17 22:26:02

【VLNs篇】07：NavRL—在动态环境中学习安全飞行

项目内容论文标题NavRL: 在动态环境中学习安全飞行 (NavRL: Learning Safe Flight in Dynamic Environments)核心问题解决无人机在包含静态和动态障碍物的复杂环境中进行安全、高效自主导航的挑战，克服传统方法和现有强化学习方法的局限性。核心算法基于近端策略优化…...

编程新知 2025/9/24 6:16:07

JS手写代码篇----使用Promise封装AJAX请求

15、使用Promise封装AJAX请求 promise就有reject和resolve了，就不必写成功和失败的回调函数了 const BASEURL ./手写ajax/test.jsonfunction promiseAjax() {return new Promise((resolve, reject) > {const xhr new XMLHttpRequest();xhr.open("get&quo…...

编程新知 2025/8/24 18:47:31

pod绑定sa

认证

授权

相关文章：