案例：為指定用戶授權(quán)訪問(wèn)不同命名空間權(quán)限，例如公司新入職一個(gè)小弟，希望讓他先熟悉K8s集群，為了

安全性，先不能給他太大權(quán)限，因此先給他授權(quán)訪問(wèn)default命名空間od，讀取權(quán)限。

實(shí)施大致步驟：

1. 用K8S CA簽發(fā)客戶端證書(shū)

2. 生成kubeconfig授權(quán)文件

3. 創(chuàng)建RBAC權(quán)限策略

4. 指定kubeconfig文件測(cè)試權(quán)限：kubectl get pods --kubeconfig=.kube/kubeconfig

----------------------------------------------------

具體實(shí)現(xiàn)如下： Master 節(jié)點(diǎn)

1. 上傳RBAC所需的腳本  

鏈接：https://pan.baidu.com/s/1fYwdSuFxgErMITO5Wmaygg
提取碼：j5go

2. 解壓，解壓后rbac目錄中有三個(gè)文件

 

 3. cert.sh腳本會(huì)用到cfssl工具，需要準(zhǔn)備一下

    tar -xf cfssl.tar.gz -C /usr/bin/

4. 執(zhí)行cert.sh腳本生成K8S客戶端證書(shū)，完成步驟（1）

 

5. 修改kubeconfig.sh ，只需要修改成自己環(huán)境的MasterIP 即可， 執(zhí)行該腳本

6. kubectl apply -f rbac.yaml

7. 先在master節(jié)點(diǎn)測(cè)試生成的kubeconfig文件是否可用。能看到指定資源即為正常。

 

 8. 部署一臺(tái)linux虛擬機(jī)，裝kubectl ,版本盡量與master保持一致

cat > /etc/yum.repos.d/kubernetes.repo << EOF
[kubernetes]
name=Kubernetes
baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOF

-----------------

[root@localhost ~]# yum install kubectl-1.21.2 -y

[root@localhost ~]# mkdir -p .kube

9. 將master節(jié)點(diǎn)生成的kubeconfig文件拷貝到指定目錄,目錄和文件名一定要正確?。?！

 

 10. 讓你的小弟在遠(yuǎn)程主機(jī)測(cè)試即可。

 

 完成。