?---
为不同用户创建不同权限的k8s账号，此处为一个只有namespace下pod及日志查看权限的用户配置方法。

集群端如下操作：

1. 创建用户证书私钥

   1	openssl genrsa -out username.key 2048

2. 创建用户证书请求(CN为用户名，O为组名)

   1	openssl req -new -key username.key -out username.csr -subj "/CN=username/O=projectName"

3. 创建用户证书(需要k8s集群的ca证书和私钥)

   证书存放路径: /etc/kubernetes/ssl

   1	openssl x509 -req -in username.csr -CA k8s.pem -CAkey k8s-key.pem -CAcreateserial -out username.crt -days 3650

4. 创建一个k8s用户，使用上一步生成的证书认证登陆

   1	kubectl config set-credentials username --client-certificate=username.crt --client-key=username.key

5. 创建一个k8s的角色(role.yaml)

   1 2 3 4 5 6 7 8 9 10 11 12

   apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata:   name: username-role   namespace: default rules: - apiGroups: ["", "apps/v1"] #指定能访问的api   resources: ["deployments", "pods", "pods/log"] #指定能访问的资源类型   verbs: [""] #对指定资源的操作权限 - apiGroups: ["v1"]   resources: ["deployments"]   verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

   然后执行：

   1	kubectl create -f role.yaml

6. 把新建的用户绑定到上面一步创建的角色上(roleBinding.yaml)

   1 2 3 4 5 6 7 8 9 10 11 12 13

   apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata:   name: user-rolebinding   namespace: default subjects: - kind: User   name: username #创建的用户名   apiGroup: "" roleRef:   kind: Role   name: username-role #创建的角色   apiGroup: ""

? 然后执行：

客户端操作：

1. 拷贝k8s集群的ca.pem,username.crt,username.key到客户端,在客户端安装kubectl

   1 2 3 4

   kubectl config set-cluster 集群名 --server=https://集群kube-apiserver:6443 --certificate-authority=ca.pem kubectl config set-credentials username --certificate-authority=ca.pem --client-key=username.key --client-certificate=username.crt kubectl config set-context default --cluster=集群名 --namespace=default --user=username kubectl config use-context default

2. 然后就可以在客户端查看应用的日志了

   1	kubectl --context=amazon3 -n namespace logs -f pod_name