kubernetes - 如何将用户添加到 Kubernetes (kubectl)？

Question

我已经用 kops 在 AWS 上创建了一个 Kubernetes 集群，并且可以通过kubectl我的本地机器成功地管理它。

我可以查看当前配置，kubectl config view也可以直接访问存储的状态~/.kube/config，例如：

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: REDACTED
    server: https://api.{CLUSTER_NAME}
  name: {CLUSTER_NAME}
contexts:
- context:
    cluster: {CLUSTER_NAME}
    user: {CLUSTER_NAME}
  name: {CLUSTER_NAME}
current-context: {CLUSTER_NAME}
kind: Config
preferences: {}
users:
- name: {CLUSTER_NAME}
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
    password: REDACTED
    username: admin
- name: {CLUSTER_NAME}-basic-auth
  user:
    password: REDACTED
    username: admin

我需要让其他用户也可以管理。本用户指南描述了如何在另一台用户机器上定义这些，但没有描述如何在集群本身内实际创建用户的凭据。你怎么做到这一点？

另外，只分享它是否安全cluster.certificate-authority-data？

Answer 1

有关身份验证的完整概述，请参阅有关身份验证和授权的官方 Kubernetes 文档

对于用户，理想情况下您使用 Kubernetes 的身份提供程序（OpenID Connect）。

如果您在 GKE / ACS 上，您将与各自的身份和访问管理框架集成

如果您自托管 kubernetes（使用 kops 时就是这种情况），您可以使用coreos/dex与 LDAP / OAuth2 身份提供程序集成 - 一个很好的参考是这篇详细的 2 部分SSO for Kubernetes文章。

kops (1.10+) 现在具有内置的身份验证支持，如果您在 AWS 上，它可以简化与 AWS IAM 作为身份提供者的集成。

对于 Dex，有几个开源的 cli 客户端如下：

• 诺德斯特龙/kubelogin
• pusher/k8s-auth-示例

如果您正在寻找一种快速且简单（从长远来看不是最安全且易于管理）的入门方式，您可能会滥用serviceaccounts- 使用 2 种专用策略选项来控制访问。（见下文）

注意自 1.6 以来强烈推荐基于角色的访问控制！这个答案不包括 RBAC 设置

编辑：很棒，但已经过时（2017-2018），Bitnami 提供的关于使用 RBAC 进行用户设置的指南也可用。

启用服务帐户访问的步骤是（取决于您的集群配置是否包括 RBAC 或 ABAC 策略，这些帐户可能具有完整的管理员权限！）：

编辑：这是一个用于自动创建服务帐户的 bash 脚本 - 请参见以下步骤

1. 为用户创建服务帐户Alice

   kubectl create sa alice
   

2. 获取相关秘密

   secret=$(kubectl get sa alice -o json | jq -r .secrets[].name)
   

3. ca.crt从秘密中获取（使用base64带有-D标志的 OSX 进行解码）

   kubectl get secret $secret -o json | jq -r '.data["ca.crt"]' | base64 -D > ca.crt
   

4. 从 secret 中获取服务帐户令牌

   user_token=$(kubectl get secret $secret -o json | jq -r '.data["token"]' | base64 -D)
   

5. 从您的 kubectl 配置（当前上下文、服务器..）中获取信息

   # get current context
   c=$(kubectl config current-context)
   
   # get cluster name of context
   name=$(kubectl config get-contexts $c | awk '{print $3}' | tail -n 1)
   
   # get endpoint of current context 
   endpoint=$(kubectl config view -o jsonpath="{.clusters[?(@.name == \"$name\")].cluster.server}")
   

6. 在新机器上，按照以下步骤操作（鉴于上面检索到的ca.cert和信息：$endpoint

   1. 安装kubectl

       brew install kubectl
      

   2. 设置集群（在ca.crt存储的目录中运行）

       kubectl config set-cluster cluster-staging \
         --embed-certs=true \
         --server=$endpoint \
         --certificate-authority=./ca.crt
      

   3. 设置用户凭据

       kubectl config set-credentials alice-staging --token=$user_token
      

   4. 定义 alice 用户与暂存集群的组合

       kubectl config set-context alice-staging \
         --cluster=cluster-staging \
         --user=alice-staging \
         --namespace=alice
      

   5. alice-staging为用户切换当前上下文

       kubectl config use-context alice-staging
      

要使用策略控制用户访问（使用ABAC），您需要创建一个policy文件（例如）：

{
  "apiVersion": "abac.authorization.kubernetes.io/v1beta1",
  "kind": "Policy",
  "spec": {
    "user": "system:serviceaccount:default:alice",
    "namespace": "default",
    "resource": "*",
    "readonly": true
  }
}

policy.json在每个主节点上配置它--authorization-mode=ABAC --authorization-policy-file=/path/to/policy.json并向 API 服务器添加标志

这将允许 Alice（通过她的服务帐户）仅对默认命名空间中的所有资源拥有只读权限。

Answer 2

你说 ：

我需要让其他用户也可以管理。

但是根据文档

假定普通用户由外部独立服务管理。分发私钥的管理员、Keystone 或 Google 帐户等用户存储，甚至是包含用户名和密码列表的文件。在这方面，Kubernetes 没有代表普通用户帐户的对象。普通用户无法通过 API 调用添加到集群中。

您必须为此使用第三方工具。

== 编辑 ==

一种解决方案是在kubeconfig 文件中手动创建用户条目。从文档中：

# create kubeconfig entry
$ kubectl config set-cluster $CLUSTER_NICK \
    --server=https://1.1.1.1 \
    --certificate-authority=/path/to/apiserver/ca_file \
    --embed-certs=true \
    # Or if tls not needed, replace --certificate-authority and --embed-certs with
    --insecure-skip-tls-verify=true \
    --kubeconfig=/path/to/standalone/.kube/config

# create user entry
$ kubectl config set-credentials $USER_NICK \
    # bearer token credentials, generated on kube master
    --token=$token \
    # use either username|password or token, not both
    --username=$username \
    --password=$password \
    --client-certificate=/path/to/crt_file \
    --client-key=/path/to/key_file \
    --embed-certs=true \
    --kubeconfig=/path/to/standalone/.kube/config

# create context entry
$ kubectl config set-context $CONTEXT_NAME \
    --cluster=$CLUSTER_NICK \
    --user=$USER_NICK \
    --kubeconfig=/path/to/standalone/.kube/config

Answer 3

bitnami 指南对我有用，即使您使用 minikube。最重要的是您的集群支持 RBAC。 https://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/