6. 示例

# 一、创建一个User Account

1. 为billy用户创建私钥及证书文件
- 生成私钥文件，并将文件放置于/etc/kubernetes/pki/专用目录中：
```bash
[root@master ~]# cd /etc/kubernetes/pki/  
[root@master pki]#(umask 077;openssl genrsa -out billy.key 2048)
```

- 创建证书签署请求，-subj选项中CN的值将被kubeconfig作为用户名使用，O的值将被识别为用户组：
```bash
[root@master pki]# openssl req -new -key kube-dba.key -out kube-dba.csr  -subj "/CN=billy O=kubeusers"
```

- 基于kubeadm安装Kubernetes集群时生成的CA签署证书，这里设置其有效时长为3650天：
```bash
[root@master pki]# openssl x509 -req -in kube-dba.csr -CA ca.crt -CAkey  ca.key -CAcreateserial -out kube-dba.crt -days 3650
```

2. 创建配置文件
```bash
# 设置新集群（k8s），指明apiserver地址，k8s证书路径和隐藏证书，并保存在（/root/billy.conf）
[root@master pki]# kubectl config set-cluster k8s  --server=https://192.168.10.100:6443 --certificate-authority=ca.crt--embed-certs=true --kubeconfig=/root/billy.conf
# 配置客户端证书及密钥，用户名信息会通过命令从证书Subject的CN值中自动提取，而组名则来自于“O=kubeusers”的定义：
[root@master pki]# kubectl config set-credentials billy  --client-certificate=billy.crt --client-key=billy.key --embed-certs=true --kubeconfig=/root/billy.conf
# 配置context，用来组合cluster和credentials，即访问的集群的上下文。
[root@master pki]# kubectl config set-context billy@k8s  --cluster=k8s  --user=billy --kubeconfig=/root/billy.conf 
# 切换context
[root@master pki]# kubectl config use-context billy@k8s --kubeconfig=/root/billy.conf
```

3. 创建系统用户及k8s验证文件
- 创建系统用户并拷贝配置文件
```bash
[root@master ~]# useradd billy 
[root@master ~]# mkdir /home/billy/.kube 
[root@master ~]# cp billy.conf /home/billy/.kube/config 
[root@master ~]# chown billy.billy -R /home/billy/.kube/ 
[root@master ~]# su - billy
```

- 测试访问集群资源，不过在启用RBAC的集群上执行命令时，billy并未获得集群资源的访问权限，因此会出现错误提示：

![未命名图片.png](/media/202406/11.6.15283549_image1.png)

- 切换至admin用户 `[root@master pki]# kubectl config use-context kubernetes-admin@kubernetes `

# 二、授权billy访问default命名空间资源

1. 创建Role
- 设定读取、列出及监视Pod资源的许可权限：

![未命名图片.png](/media/202406/11.6.15283549_image2.png)

2. 创建Rolebinding
- 用户billy和role pods-reader的绑定

![未命名图片.png](/media/202406/11.6.15283549_image3.png)

3. 访问验证
- 访问default空间的pod资源信息

![未命名图片.png](/media/202406/11.6.15283549_image4.png)

- 访问所有名称空间的pod资源信息

![未命名图片.png](/media/202406/11.6.15283549_image5.png)

- 访问default空间的svc资源信息

![未命名图片.png](/media/202406/11.6.15283549_image6.png)

# 三、授权billy访问所有命名空间资源

1. 创建ClusterRole
- 设定读取、列出及监视Pod资源的许可权限

![未命名图片.png](/media/202406/11.6.15283549_image7.png)

2. 创建Rolebinding
- 用户billy和clusterrole cluster-reader的绑定

![未命名图片.png](/media/202406/11.6.15283549_image8.png)

3. 访问验证
- 访问所有名称空间的pod资源信息

![未命名图片.png](/media/202406/11.6.15283549_image9.png)

# 四、授权devuser用户只能访问database名称空间

1. 清除前面授予的权限信息
```bash
[root@master  ~]# kubectl delete -f pod-reader.yaml 
[root@master  ~]# kubectl delete -f pod-reader-cluster.yaml 
[root@master  ~]# kubectl delete -f resources-reader.yaml 
[root@master  ~]# kubectl delete -f resources-reader-cluster.yaml
```

2. 创建database名称空间 `[root@master pki]# kubectl create namespace database ` 
3. 创建Role，设定只能读取、列出及监视database下的Pod资源的许可权限

![未命名图片.png](/media/202406/11.6.15283549_image10.png)

4. 创建Rolebinding
- 用户billy和role pods-reader的绑定

![未命名图片.png](/media/202406/11.6.15283549_image11.png)

5. 访问验证
- 访问database下的pod资源信息正常

![未命名图片.png](/media/202406/11.6.15283549_image12.png)

- 访问default下的pod资源信息报错

![未命名图片.png](/media/202406/11.6.15283549_image13.png)

# 五、ServiceAccount授权

1. 创建SA `kubectl create sa billy-sa` 
2. 创建Role

![未命名图片.png](/media/202406/11.6.15283549_image14.png)

3. 创建Rolebinding，将billy-sa和billy-sa-role的绑定

![未命名图片.png](/media/202406/11.6.15283549_image15.png)

4. 验证结果 创建完SA之后系统会自动创建一个secret，我们可以获取这个secret里面的token去登录dashboard，就可以看到相应有权限的资源。 `kubectl get secret billy-sa-token-9rc55 -o jsonpath={.data.token} |base64 -d` 
- 还可以在创建pod时在pod的spec里指定serviceAccountName，那么这个pod就拥有了对应的权限。