k8s设置多个Context环境

已于 2023-04-20 10:06:36 修改
阅读量1.4k 收藏 1
点赞数 3
CC 4.0 BY-SA版权
文章标签: kubernetes linux java
于 2023-04-19 13:19:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770684/article/details/130238429
本文详细介绍了如何在K8s环境中创建多个Context运行环境,以便管理不同的集群和实现权限控制。通过生成和验证用户证书,设置Context、Cluster和用户绑定,并创建角色与角色绑定,确保用户只能访问和操作指定的资源。最后,将配置的kubeconfig文件发送到客户端,实现客户端的权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

目的

一、k8s创建Context运行环境

二、实际操作演示

三、将config发送到安装有kubectl命令行的指定客户端

目的

        配置个多个Context运行环境,既可以通过不同的运行环境来管理不同的k8s集群;同时也可以通过不同的Context运行环境实现权限的管理。

        这里我以同一个k8s集群设置不同的Context运行环境,并设置特定的权限,给相关的开发人员使用。给开发人员操作k8s集群的指定命名空间的指定资源,或者多个命名空间的指定资源。

一、k8s创建Context运行环境

1、创建deploy用户

                关键要点: 先生成私钥;再使用私钥并指定相关信息,生成请求文件;最后使用ca对请求文件完成ca自签,生成ca颁发的用户证书(ca为k8s集群的根证书和根私钥文件)

mkdir deploy 
cp /etc/kubernetes/pki/{ca.crt,ca.key} deploy/
cd deploy 
openssl genrsa  -out deploy.key 2048
openssl req -new -key deploy.key -out deploy.csr -subj "/O=kubernetes/CN=deploy"
openssl  x509 -req -in deploy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out deploy.crt -days 36500

       说明:

               CN=deploy 表示创建的认证用户为 deploy ,后续要使用该用户进行k8s权限绑定,是是否能通过认证的关键点

2、验证证书命令

# 验证生成的正式是否成功,输出 OK 表示证书创建成功可用
openssl verify -CAfile ca.crt deploy.crt

# 查看证书 内容 
openssl x509 -in deploy.crt -noout -text

3、k8s设置 context 运行环境

     将指定的deploy用户、指定的context和指定cluster绑定,建议指定新的kubeconfig文件为config,要不然会修改到默认的 kubeconfig文件;指定运行文件集群信息和用户认证信息(默认--kubeconfig=/root/.kube/config)

# 说明:--embed-certs=true 表示不在配置文件中显示证书信息;(--embed-certs为true表示将--certificate-authority证书写入到kubeconfig中)

kubectl config set-cluster deploy --server=https://lb.kubesphere.local:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=config
kubectl config set-credentials deploy --client-certificate=deploy.crt --client-key=deploy.key --embed-certs=true --kubeconfig=config
kubectl config set-context deploy --cluster=deploy --user=deploy --namespace=rc-saas --kubeconfig=config

4、切换contexts

        不切换contexts ,直接使用生成的kubecofnig文件会提示报错:The connection to the server localhost:8080 was refused

# 看看当前的 Context 运行环境
kubectl config get-contexts --kubeconfig=config

# 切换 Context运行环境为 前面设置的  deploy 运行环境
kubectl config use-context deploy --kubeconfig=config

5、验证运行环境

# 这个时候不成功是因为没有进行权限绑定,需要创建 role或者ClusterRole 并且进行权限绑定相应用户

kubectl get pod

6、创建集群角色或者角色,完成角色权限操作需求

        要点:创建角色或者集群角色,并指定指定资源的指定操作权限,并完成用户和角色绑定

# 创建 deploy-role角色,并且授权为可以执行rc-saas命名空间的 deployments 类型的资源的所有操作 

kubectl create role deploy-role --verb="*" --resource=deployments/"*"  -n rc-saas

# 将创建角色绑定;实现将 deploy 用户和 deploy-role 角色绑定 
# clusterrole 不区分命名空间,role: 区分命名空间,需要指定命名空间
kubectl create rolebinding deploy-rolebinding  --role=deploy-role --user=deploy -n rc-saas

7、拷贝新建的kubeconfig文件    

将在deploy目录下生成的的config文件复制到指定的安装有kubectl 的客户端

kubectl 只能操作绑定角色指定的资源和动作

如: 上边的角色资源包括了 命名空间 rc-saas 所有的资源操作,但是无法查看或者查看rc-saas命名空间之外的 资源。

二、实际操作演示

[root@master01 ~]# 
[root@master01 ~]# # 创建deploy目录
[root@master01 ~]# mkdir deploy 
[root@master01 ~]# 
[root@master01 ~]# # 将 k8s 的证书和私钥复制到deploy目录
[root@master01 ~]# cp /etc/kubernetes/pki/{ca.crt,ca.key} deploy/
[root@master01 ~]# 
[root@master01 ~]# # 创建deploy用户的私钥
[root@master01 ~]# cd deploy
[root@master01 deploy]# openssl genrsa  -out deploy.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
.................................+++
e is 65537 (0x10001)
[root@master01 deploy]# 
[root@master01 deploy]# # 创建deploy用户的请求文件
[root@master01 deploy]# openssl req -new -key deploy.key -out deploy.csr -subj "/O=kubernetes/CN=deploy"
[root@master01 deploy]# 
[root@master01 deploy]# # 使用 k8s ca证书和私钥签证,生成deploy可信的证书,证书过期时间为:36500天
[root@master01 deploy]# openssl  x509 -req -in deploy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out deploy.crt -days 36500
Signature ok
subject=/O=kubernetes/CN=deploy
Getting CA Private Key
[root@master01 deploy]# 
[root@master01 deploy]# # 校验生成的deploy;校验证书内容命令为:openssl x509 -in deploy.crt -noout -text;证书内容过长,这里不执行了 
[root@master01 deploy]# openssl verify -CAfile ca.crt deploy.crt
deploy.crt: OK
[root@master01 deploy]# 
[root@master01 deploy]# # 设置Context运行环境集群名为:deploy;请替换server为你的 kube-apiserver地址;kubeconfig文件名为:config
[root@master01 deploy]# kubectl config set-cluster deploy --server=https://lb.kubesphere.local:6443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=config
Cluster "deploy" set.
[root@master01 deploy]# 
[root@master01 deploy]# # 设置context运行环境用户,将deploy用户的证书和私钥 和 运行环境绑定
[root@master01 deploy]# kubectl config set-credentials deploy --client-certificate=deploy.crt --client-key=deploy.key --embed-certs=true --kubeconfig=config
User "deploy" set.
[root@master01 deploy]# 
[root@master01 deploy]# # 设置context运行环境信息:用户:deploy 集群cluster:deploy 默认命名空间:rc-saas
[root@master01 deploy]# kubectl config set-context deploy --cluster=deploy --user=deploy --namespace=rc-saas --kubeconfig=config
Context "deploy" created.
[root@master01 deploy]# 
[root@master01 deploy]# # 查看使用的当前context运行环境情况(由于还没切换,context为空)
[root@master01 deploy]# kubectl config get-contexts --kubeconfig=config
CURRENT   NAME     CLUSTER   AUTHINFO   NAMESPACE
          deploy   deploy    deploy     rc-saas
[root@master01 deploy]# 
[root@master01 deploy]# # 由于当前使用的context为空,使用kubectl 获取资源 会报错
[root@master01 deploy]# kubectl get po -n rc-saas --kubeconfig=config
The connection to the server localhost:8080 was refused - did you specify the right host or port?
[root@master01 deploy]# 
[root@master01 deploy]# # 切换当前使用context为deploy
[root@master01 deploy]# kubectl config use-context deploy --kubeconfig=config
Switched to context "deploy".
[root@master01 deploy]# 
[root@master01 deploy]# # 再次查看当前使用的context发现为deploy
[root@master01 deploy]# kubectl config get-contexts --kubeconfig=config
CURRENT   NAME     CLUSTER   AUTHINFO   NAMESPACE
*         deploy   deploy    deploy     rc-saas
[root@master01 deploy]#
[root@master01 deploy]# # 此时由于还没有绑定角色,会报错权限问题
[root@master01 deploy]# kubectl get deploy -n rc-saas --kubeconfig=config
Error from server (Forbidden): deployments.apps is forbidden: User "deploy" cannot list resource "deployments" in API group "apps" in the namespace "rc-saas"
[root@master01 deploy]# 
[root@master01 deploy]# # 创建 deploy-role 角色,并授权,资源类型为 deployments ,动作:所有动作,由于之前创建过了deploy角色,所有提示已存在deploy角色
[root@master01 deploy]# kubectl create role deploy-role --verb="*" --resource=deployments/"*"  -n rc-saas
Error from server (AlreadyExists): roles.rbac.authorization.k8s.io "deploy-role" already exists
[root@master01 deploy]# 
[root@master01 deploy]# # 角色绑定,由于我之前已创建了角色绑定所以提示已存在
[root@master01 deploy]# kubectl create rolebinding deploy-rolebinding  --role=deploy-role --user=deploy -n rc-saas
error: failed to create rolebinding: rolebindings.rbac.authorization.k8s.io "deploy-rolebinding" already exists
[root@master01 deploy]# 
[root@master01 deploy]# # 使用新建的context查看deploy资源
[root@master01 deploy]# kubectl -n rc-saas get deploy --kubeconfig=config 
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
azkaban-web                 1/1     1            1           22d
[root@master01 deploy]# 
[root@master01 deploy]# pwd
/root/deploy
[root@master01 deploy]# ls -l
总用量 32
-rw-r--r-- 1 root root 1099 4月  19 11:27 ca.crt
-rw------- 1 root root 1675 4月  19 11:27 ca.key
-rw-r--r-- 1 root root   17 4月  19 11:31 ca.srl
-rw------- 1 root root 5408 4月  19 11:50 config
-rw-r--r-- 1 root root 1005 4月  19 11:31 deploy.crt
-rw-r--r-- 1 root root  915 4月  19 11:29 deploy.csr
-rw-r--r-- 1 root root 1679 4月  19 11:29 deploy.key
[root@master01 deploy]#

三、将config发送到安装有kubectl命令行的指定客户端

[deploy@deploy ~]$ # 保证客户端要能访问到 kube-apiserver,默认端口6443  
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 穿件config存放目录
[deploy@deploy ~]$  mkdir -p ${HOME}/.kube
[deploy@deploy ~]$  
[deploy@deploy ~]$ # 复制config 到当前用户的 ${HOME}/.kube/ 目录
[deploy@deploy ~]$ ls -rtl ${HOME}/.kube/config
-rw-rw-r-- 1 deploy deploy 5404 4月   6 10:46 /home/deploy/.kube/config
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 由于 deploy用户拥有访问rc-saas 命名空间的 deployments资源,所以可以成功查看
[deploy@deploy ~]$ kubectl -n rc-saas get deploy|head -n 2
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
azkaban-web                 1/1     1            1           22d
[deploy@deploy ~]$ 
[deploy@deploy ~]$ # 由于deploy用户没有访问kube-system 的权限所以会提示 forbidden,实现了权限管理
[deploy@deploy ~]$ kubectl -n kube-system  get deploy
Error from server (Forbidden): deployments.apps is forbidden: User "deploy" cannot list resource "deployments" in API group "apps" in the namespace "kube-system"
[deploy@deploy ~]$ 
[deploy@deploy ~]$

@土豆
关注
Spinnaker篇-配置接管多个k8s集群
鬼刺
04-28 837
1 引言
K8S系列】深入解析K8S监控
热门推荐
颜淡慕潇
07-06 3万+
【深入解析k8s】专栏主要是深入解析每个知识点,帮助大家完全掌握k8s,以下是已更新的章节【深入解析K8S专栏介绍】Kubernetes是一个分布式系统,能够管理和编排容器化应用程序。其中,监控是一个非常重要的方面,可以帮助用户了解集群的健康状态、性能和可用性。在本文中,将详细介绍Kubernetes监控的监控类型监控详解监控软件安装监问题思考在Kubernetes中,监控是一个非常重要的方面,可以帮助用户了解集群的健康状态、性能和可用性。
Kubernetes context 上下文配置
爱死亡机器人
03-16 5183
但是,要使用该命令,您需要在 kubeconfig 中配置上下文。如果你的集群多个命名空间,就会出现另一个痛点:每次使用kubectl时都需要指定–namespace或-n。这允许您在配置文件中定义多个上下文,然后您可以将其用于定位多个 Kubernetes 集群,或具有不同用户集或命名空间的同一集群。如果您使用多个 Kubernetes 集群,当您从一个集群切换到另一个集群时,管理这样的配置文件很快就会变得很麻烦。假设您有两个集群,一个用于开发工作,一个用于测试工作。中,开发人员使用默认名称空间(
部署Kubernetes(k8s)集群多节点环境
Viman的运维专栏
04-19 1267
Kubernetesk8s集群部署安装并通过kuboard的gui可视化工具管理集群
告别混乱!轻松玩转 kubectl 多集群配置切换 (kubeconfig Context 指南)
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
04-16 1034
管理多个 Kubernetes 集群配置并不复杂,核心就在于理解和运用kubeconfig文件中的Context概念。通过掌握view: 查看配置概览: 列出所有可用上下文: 显示当前激活的上下文切换到指定的上下文我们就能轻松地在不同的 Kubernetes 环境(如生产和测试)之间安全、高效地切换了。希望这篇回顾能帮我们重新找回操作kubectl多集群配置的熟悉感!
K8S---namespaces和Context创建
liao__ran的博客
06-10 678
K8S namespace创建及隔离
配置k8s集群context-rbac实践
weixin_30566111的博客
06-28 401
说明 在openshift环境中,可以通过oc project {project_name}命令来切换project,那么在k8s中式如何切换namespace的呢?(ocp的project即相当于k8s中的ns) 实例 创建ns #创建dev 和 prod ns kubectl create ns dev kubectl create ns prod ...
k8s use-context是什么
u010674101的专栏
10-14 922
kubectl的命令用于在 Kubernetes 集群中切换上下文(context),从而方便地在多个集群或命名空间之间进行操作。一个上下文定义了kubectl使用的和的组合。
k8s 通过set-context 控制namespace 进行隔离
邢宁
12-03 2263
前言 k8s可以基于命名空间实现完全隔离的环境,可以根据业务的不同划分不同的namespace来使用,在这里简单分享一下 1、创建namespace kubectl create -f https://k8s.io/examples/admin/namespace-dev.json kubectl create -f https://k8s.io/examples/admin/namespace-prod.json #查看创建的命名空间 kubectl get namespaces --show-la
K8S CKA 1.29 题库 考试环境+模拟环境
pooopun的博客
06-27 1994
题库一共17道题,题目难度都不大,在题库中,context和task是描述信息和任务,每一题都配置了官网的文档。在给你的关键词中,是让你在官网去搜索用的,考试的时候建议这样用,因为每个题目的链接你下来,用关键词可事半功倍。根据截图去搜索就行。
从0开始安装一个本地K8s环境
追求幸福,探索未知的博客
08-06 1497
在一个节点上快速部署搭建本地k8s集群
基于k8s搭建开发环境(附多集群切换)
lvwkpt的博客
06-02 1582
kubernetes、kt-connect、docker、yaml、分布式开发
k8s配置中心实战-多环境交付apollo三组件
qq_43076479的博客
08-18 529
1.环境准备工作 先删除infra名称空间中部署的apollo服务 kubectl delete -f http://k8s-yaml.zq.com/apollo-configservice/dp.yaml kubectl delete -f http://k8s-yaml.zq.com/apollo-adminservice/dp.yaml kubectl delete -f http://k8s-yaml.zq.com/apollo-portal/dp.yaml 要进行分环境,需要将现有实验环
通过kubectx/kubens快速切换管理k8scontext和namespace
wanger5354的博客
01-02 1395
微信公众号:运维开发故事,作者:double冬 在使用kubectl操作kubernetes集群的过程中,可能会遇到需要操作不同集群的问题,例如本地的minikube集群和线上的部署集群,或是线上的测试集群和线上的部署集群,如果集群之间切换不频繁,也可以使用笨办法,比如准备多个config文件在/.kube文件夹下,要切换的时候就改config的名字,或者使用别名,不过对于需要频繁切换操作集群的人来说,这个方法显然太麻烦了,当然也不够cool。 当然,k8s是非常完善的集群解决方案,肯定是考虑到了这个问.
k8s Context
duolatech
09-14 227
【代码】k8s Context
生产环境实现k8s集群管理
weixin_38320674的博客
04-08 1449
在实际生产环境中,往往需要维护多个k8s集群,在多个环境和节点之间切换,影响工作效率,不符合devops的理念,因此尝试在单个节点下面维护多个k8s集群。1) 模拟存在两套k8s集群第一个k8s集群:[root@k8smaster ~]#kubectlget nodesNAME STATUS ROLES VERSIONk8sm...
使用kubecm管理k8s集群环境
一个还不成熟、正在努力成长的博客小站。
07-15 444
最新版本地址查看 https://github.com/sunny0826/kubecm/releases/ 1.安装(如果下载不下来,手动下载,再上传到服务器) [root@ecs--001 config]# curl -Lo kubecm_0.15.3_Linux_x86_64.tar.gz https://github.com/sunny0826/kubecm/releases/download/v0.15.3/kubecm_0.15.3_Linux_x86_64.tar.gz [root@
kubectl use-context配置多集群访问,控制多个k8s集群
会哭的雨@的博客
03-23 4239
kubectl use-context配置多集群访问 今天在rancher平台上进行日常维护。在多个集群切换时,鼠标一顿点点点还是有点不够顺畅。于是在"瑞斯拜"的chrome里面找到了k8s有关多集群访问配置的桥段,下面根据实践过程做简单描述 使用 kubeconfig 文件组织集群访问 通过 kubectl 连接k8s集群时,默认情况下,kubectl 会在$HOME/.kube 目录下查找名为 config 的文件,我直接root用户登录的、我的 config配置文件路径为 ~/.k..
什么是k8s上下文?kubeconfig配置文件讲解
MssGuo的博客
12-18 2954
环境:在计算机领域中,开发工程师进行代码开发的时候,我们经常会听到上下这个概念,那么,什么是上下文? 上下文,英文单词是context,释义为:背景,环境,上下文,语境。 context上下文可以被看作是传递信息的桶。 它通常用于传递不一定直接绑定到方法调用的东西,但仍然可以是相关的。 例如,你正在编写C#程序,那么可以将多个mysql的链接信息定义为上下文,这样,当代码里需要更新数据时,就可以通过调用上下文来链接到指定的数据库了。在k8s中,上下文(context)是集群信息、用户和命名空间的组合这样一个
写一个kubeconfig文件连接k8s环境
03-19
<think>嗯,用户想了解如何编写一个kubeconfig文件来连接Kubernetes环境。我需要先回忆一下kubeconfig的结构和作用。kubeconfig文件通常包含集群信息、用户凭证和上下文,对吧?用户可能是在搭建或者管理Kubernetes集群时需要这个文件,比如在本地kubectl配置连接远程集群的时候。 首先,我应该解释kubeconfig的基本组成部分。比如,clusters、users、contexts这几个部分。然后,每个部分的具体内容,比如集群的CA证书、API服务器地址,用户的客户端证书和密钥,或者token之类的认证信息。可能还需要提到不同的认证方式,比如客户端证书、token或者基本认证,但现在更常见的是证书或者token。 接下来,用户可能需要具体的示例。这时候我需要给出一个模板,用YAML格式展示,并且用$$...$$包裹,因为里面有代码块。注意要提醒用户替换其中的占位符,比如server地址、证书路径、名称等。还要确保他们了解各个字段的意义,比如cluster的证书颁发机构数据,user的client-certificate-data和client-key-data可能需要base64编码的内容,或者直接指定文件路径。 另外,可能需要说明如何生成这些凭证,比如通过kubectl命令或者手动生成。如果用户是从现有集群获取配置,可能kubectl config view可以查看当前的配置,或者使用kubectl config set-cluster等命令来生成。不过用户的问题更偏向于手动编写,所以重点放在文件结构上。 安全问题也是要考虑的,比如保护kubeconfig文件,避免泄露敏感信息。可能还要提到不同的context切换,使用kubectl config use-context命令来切换上下文。 用户可能遇到的问题,比如证书无效、权限不足,或者网络无法连接到API服务器,这时候需要检查证书是否正确,网络连通性,以及RBAC权限设置是否正确。同时,可能需要注意YAML格式的缩进是否正确,避免语法错误。 总结下来,步骤应该是:解释kubeconfig的结构,提供一个模板,说明如何替换各个部分,可能涉及的命令,以及常见问题的检查点。确保用户能够根据步骤一步步创建自己的kubeconfig文件,并成功连接到Kubernetes集群。</think>要编写用于连接Kubernetes集群的`kubeconfig`文件,需按以下步骤操作: ### 一、kubeconfig文件结构 `kubeconfig`文件是YAML格式,包含3个核心部分: 1. **集群信息**(Clusters):API Server地址和CA证书 2. **用户凭证**(Users):身份验证信息(证书、Token等) 3. **上下文**(Contexts):绑定集群与用户的关系 ### 二、基础模板示例 ```yaml $$ # 独立公式使用$$包裹 apiVersion: v1 kind: Config clusters: - name: my-cluster cluster: certificate-authority-data: <base64编码的CA证书> server: https://<API-Server-IP>:6443 users: - name: my-user user: client-certificate-data: <base64编码的用户证书> client-key-data: <base64编码的用户私钥> contexts: - name: my-context context: cluster: my-cluster user: my-user namespace: default current-context: my-context $$ ``` ### 三、关键参数说明 1. **证书获取方式**(二选一): - **直接引用文件路径**: ```yaml users: - name: my-user user: client-certificate: /path/to/client.crt client-key: /path/to/client.key ``` - **Base64编码数据**(推荐): ```shell # 生成base64编码 cat ca.crt | base64 -w0 ``` 2. **认证类型支持**: - X509客户端证书(如上例) - Bearer Token: ```yaml users: - name: token-user user: token: "Bearer xxxx.yyyy.zzzz" ``` - 基本认证(已不推荐) ### 四、验证配置文件 1. 设置环境变量指向配置文件: ```shell export KUBECONFIG=/path/to/kubeconfig ``` 2. 测试连接: ```shell kubectl get nodes ``` ### 五、常见问题排查 1. **证书错误**:检查CA证书是否与集群匹配,时间是否过期 2. **连接拒绝**:确认API Server地址和端口正确,检查防火墙规则 3. **权限不足**:通过RBAC配置用户权限 ### 六、高级配置技巧 1. **多集群管理**:在`clusters`和`contexts`中添加多个条目 2. **命名空间预设**: ```yaml contexts: - context: namespace: dev-env ``` > **注意**:生产环境中建议通过`kubectl config`命令生成配置文件,例如: > ```shell > kubectl config set-cluster my-cluster --server=https://1.2.3.4:6443 --certificate-authority=ca.crt > kubectl config set-credentials my-user --client-certificate=client.crt --client-key=client.key > kubectl config set-context my-context --cluster=my-cluster --user=my-user > ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值