K8S权限、Helm

最新推荐文章于 2025-01-11 20:22:58 发布
最新推荐文章于 2025-01-11 20:22:58 发布
阅读量246 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w975121565/article/details/127192566

环境基于 k8s 1.25.0(rockylinux8.6)

一、权限

kubectl config view

生成私钥

cd /etc/kubernetes/pki/
openssl genrsa -out myuser.key 2048
ll

生成请求文件

openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=kubeusers"
ls

颁发证书

openssl x509 -req -in myuser.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out myuser.crt -days 365
ls

将用户填加至k8s集群

kubectl config set-credentials myuser --client-certificate=/etc/kubernetes/pki/myuser.crt --client-key=/etc/kubernetes/pki/myuser.key
kubectl config set-context myuser@mycluster --cluster=mycluster --user=myuser
kubectl config view

 切换用户(还未授权,不可查看资源)

kubectl config use-context myuser@mycluster
kubectl get pod

kubectl config use-context kubernetes-admin@mycluster

 2、创建serviceAccount(namespace内生效)

每个namespace自动创建default serviceAccount

创建sa

kubectl create ns myns
vim mynssa.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: myns
  name: myns-sa

kubectl apply -f mynssa.yaml
kubectl get sa -n myns

 查看pod所用的sa(未指定sa,则用缺省default)

kubectl get pod taintexcute-db57bb998-sltcp -o yaml | grep -A 20 -i serviceaccount

 3、RBAC

role: namespace内

clusterrole: 所有namespace

myuser用户绑定查看角色

kubectl get clusterrole
kubectl describe clusterrole view

vim myuserrole.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebindingmyuser
subjects:
- kind: User
  name: myuser
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: view
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f myuserrole.yaml
kubectl config use-context myuser@mycluster
kubectl get pod
kubectl delete pod taintexcute-db57bb998-sltcp

kubectl config use-context kubernetes-admin@mycluster

 此账号只具有查看权限,不能删除pod

 创建role

vim mynsrole.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: myns-role
  namespace: myns
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list"]

kubectl apply -f mynsrole.yaml
kubectl get role -n myns
kubectl describe role -n myns myns-role

 rolebinding

vim mynsbind.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebindingmyns-sa
  namespace: myns
subjects:
- kind: ServiceAccount
  name: myns-sa
  namespace: myns
roleRef:
  kind: Role
  name: myns-role
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f mynsbind.yaml
kubectl get rolebindings.rbac.authorization.k8s.io -n myns
kubectl describe rolebindings.rbac.authorization.k8s.io -n myns rolebindingmyns-sa

 创建delployment并用myns-sa

vim  mynsnginx.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
  namespace: myns
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        imagePullPolicy: IfNotPresent
      serviceAccountName: myns-sa

kubectl apply -f mynsnginx.yaml
kubectl get pods -n myns
kubectl get pod -n myns nginx-deployment-76966d8d79-hmhdz -o yaml | grep -i serviceaccount
kubectl describe pod -n myns nginx-deployment-76966d8d79-hmhdz

 二、helm

1、安装

下载安装包

https://get.helm.sh/helm-v3.10.0-linux-amd64.tar.gzicon-default.png?t=M85Bhttps://get.helm.sh/helm-v3.10.0-linux-amd64.tar.gz

tar -xvf helm-v3.10.0-linux-amd64.tar.gz
cd linux-amd64/
cp helm /usr/local/bin/
cd
helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo list
helm version

helm repo update
helm search repo http

 安装http

helm install bitnami/apache --generate-name
kubectl get deployments.apps
kubectl get pods
kubectl get svc

 可以查看到   deployment   svc都已自动创建完毕

helm list
helm uninstall apache-1665123936

 deployment   pod   svc都自动删除

 2、实验

helm install bitnami/nginx --generate-name
helm status nginx-1665124494
kubectl get svc
kubectl get pods
kubectl get deployments.apps

cd .cache/helm/repository/
ls
tar -xvf nginx-13.2.9.tgz
tree nginx

 所有安装过的会生成tar包

 详细安装信息查看(配置参数)

helm inspect values bitnami/nginx
helm show chart  bitnami/nginx
helm show all bitnami/nginx
helm show values bitnami/nginx

charts    目录存放当前charts依赖的所有charts文件

templates  目录存放当前charts用到的模板文件,可应用于charts生成有效的kubernetes清单文件

values.yaml   提供配置参数的默认值,chart支持在安装时根据参数进行定制化配置

helm env
cd .cache/helm/repository/
helm create mychart
ls
tree mychart/
cd mychart
cat values.yaml

可自行修改yaml文件,改完后检查命令

cd .cache/helm/repository/
vim mychart/values.yaml
改第5行  replicaCount: 2
改40行   type: NodePort
改41行   port: 8080

helm lint mychart

模拟安装

helm install mychart  --dry-run --debug --generate-name
helm install mychart --name-template myapp --generate-name
kubectl get deployments.apps
kubectl get pods
kubectl get svc


curl 10.10.137.93:8080
curl 192.168.3.114:32497

打包

helm package mychart
ls

 下载

helm search repo tomcat
helm pull bitnami/tomcat
w23939296
关注
K8s——Helm
rmh0713的博客
06-06 1550
在没使用 helm 之前,向 kubernetes 部署应用,我们要依次部署 deployment、svc 等,步骤较繁琐。况且随着很多项目微服务化,复杂的应用在容器中部署以及管理显得较为复杂,helm 通过打包的方式,支持发布的版本管理和控制, 很大程度上简化了 Kubernetes 应用的部署和管理。charts 除了可以在 repo 中下载,还可以自己自定义,创建完成后通过 helm 部署到 k8s。●NOTES.txt:chart 的“帮助文本”,在用户运行 helm install 时显示给用户。
Kubernetesk8s集群之包管理器Helm
weixin_68840588的博客
08-22 2179
k8s集群之包管理器Helm
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 3046
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
k8s包管理器helm_K8S包管理神器-Helm
weixin_42393576的博客
12-30 443
在我们学习 kubernetes 的过程中,用的最多的是 kubectl 命令行工具,使用 kubectl 工具需要我们编写好各种部署文件,这在生产中是非常不方便的,因此 Helm 这个 kubernetes 包管理工具就应运而生了。Helm 包管理工具不仅可以为我们安装网上已经成熟的部署库文件,而且可以生产本地部署模板,我们只需要简单改一改,就可以完成一个应用的部署,不需要我们记住那么多的命令和...
【笔记】Helm-4 最佳实践-8 基于角色的访问控制
m0_46141283的博客
01-28 615
serviceAccount.name要设置为由chart创建的访问控制资源的ServiceAccount的名称。如果serviceAccount.create是true,则使用该名称的ServiceAccount会被创建。如果serviceAccount.create是false,则不会被创建,但仍然会与相同的资源关联,以便后续手动创建的引用它的RBAC资源可以正常工作。如果serviceAccount.create是false且没有指定名称,会使用默认的ServiceAccount
kuberneteshelm安装
jinyidong的博客
08-27 701
1、helm简介   2、helm安装 安装socat网络工具 yum install -y socat 安装helm-2.9.1版本 wget https://storage.googleapis.com/kubernetes-helm/helm-v2.9.1-linux-amd64.tar.gz tar zxvf helm-v2.9.1-linux-amd64.tar.gz c...
k8s之包管理器Helm
fhjtg的博客
06-12 1219
在没使用 helm 之前,向 kubernetes 部署应用,我们要依次部署 deployment、svc 等,步骤较繁琐。况且随着很多项目微服务化,复杂的应用在容器中部署以及管理显得较为复杂,helm 通过打包的方式,支持发布的版本管理和控制, 很大程度上简化了 Kubernetes 应用的部署和管理。Helm 本质就是让 K8s 的应用管理(Deployment、Service 等)可配置,可以通过类似于传递环境变量的方式能动态生成。
k8s 使用 helm 文件部署 8.12.2 es 分角色集群
以梦为马|越骑越傻
07-04 1229
节点。
K8S使用helm部署vault集群_vault-unseal
2401_89213079的博客
01-11 827
【代码】K8S使用helm部署vault集群_vault-unseal。
helm-安装与使用
kozazyh的专栏
03-13 3万+
Helm 可以理解为 Kubernetes 的包管理工具,可以方便地发现、共享和使用为Kubernetes构建的应用。一、基本概念1.Helm的三个基本概念ChartHelm应用(package),包括该应用的所有Kubernetes manifest模版,类似于YUM RPM或Apt dpkg文件Repository:Helm package存储仓库Release:chart的部署实例,每个c...
Helm简介,安装与使用
热门推荐
weiguang1017的专栏
09-20 4万+
Helm简介:       HelmKubernetes资源(比如deployments、services或 ingress等) 打包到一个chart中,而chart被保存到chart仓库。通过chart仓库可用来存储和分享chartHelm使发布可配置,支持发布应用配置的版本管理,简化了Kubernetes部署应用的版本控制、打包、发布、删除、更新等操作。 安装 i.Helm
Helm的用法(k8s的包管理工具,超好用)
chuuuing的博客
05-08 2217
Helm是一个kubernetes上的软件包管理工具。 与NodeJS的软件包管理工具npm相似,Helm的目的也是方便打包,分享,管理App。
Helm使用
wenwenxiong的专栏
01-15 8722
Helm 基本概念Helm 可以理解为 Kubernetes 的包管理工具,可以方便地发现、共享和使用为Kubernetes构建的应用,它包含几个基本概念 Chart:一个 Helm 包,其中包含了运行一个应用所需要的镜像、依赖和资源定义等,还可能包含 Kubernetes 集群中的服务定义,类似 Homebrew 中的 formula,APT 的 dpkg 或者 Yum 的 rpm 文件, Rel
helm 部署和简单使用
weixin_33890499的博客
10-30 869
2019独角兽企业重金招聘Python工程师标准>>> ...
Helm的安装和调试(常见错误解决)
BigData_Mining的博客
03-25 3万+
Helm整体架构: 1.为什么要用? 首先在原来项目中都是基于yaml文件来进行部署发布的,而目前项目大部分微服务化或者模块化,会分成很多个组件来部署,每个组件可能对应一个deployment.yaml,一个service.yaml,一个Ingress.yaml还可能存在各种依赖关系,这样一个项目如果有5个组件,很可能就有15个不同的yaml文件,这些yaml分散存放,如果某天进行项目恢复的话,...
Helm简介和简单使用,使用helm安装nfs-client-provisioner、dashboard、metrics-server、harbor仓库等
weixin_43849415的博客
01-07 4447
helm简单安装、命令、语法介绍,使用helm安装和部署常见的k8s应用
Kubernetes & ServiceAccount
来啊 快活啊
02-22 3099
ServiceAccount 每个namespace下有一个名为default的默认的ServiceAccount对象,这个ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。 如果一个Pod在...
k8s安装helm
最新发布
03-20
### 如何在 Kubernetes (k8s) 上安装 Helm #### 准备工作 确保已具备以下条件: - 已经有一个正常运行的 Kubernetes 集群。 - 安装并配置好 `kubectl` 并连接到目标集群。 #### 使用官方推荐的方式安装 Helm v3 或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值