00:01
各位大家好,刚才呢,我们介绍到了K8S基金中的安全机制,以及RBAC的基于角色的防控制,那我下面呢,给大家就具体演示一个,对于我们一个普通用户,针对命名空间的一个访问权限,咱们做这么一个具体操作啊,给各位来做个演示,那咱们下面就来操作一下。首先啊,这步骤我在里边给大家详细写一下,首先里边的第一步呢,咱就先创建一个命名空间,为了我们进行具体操作,那我现在在里面创建,咱先做个查看库,Ctl get ns,我们看里边有很多命运空间啊,包括它默认的,包括我们后面创建的,然后现在比如说我再建个新的命运空间,酷。Ctl。Create ns加上名字,就这名字,我就叫这个肉。
01:01
DEMO,这是我建的命名空间,然后创建之后我们再做一个查看这个肉DEMO我们就创建出来了,所以这是里边的第一部分,咱先建个命名空间,然后在里边我们进行这样的操作啊,这是我们的第一步做到了,然后这个做到之后,下面我们再进入到我们的第二步操作,第二步怎么做呢?咱就在这个命空间下建一个pod啊,来做一个基本操作。写一下在我们这个新创建的命名空间下创建一个pod,如果你不创建名空间,它默认咱之前说过在那个底破的里边,但是我现在在里面创建,我来一个酷。Ctl我直接来一个就来一个run了啊,然后来一个NEX,杠杠,Image等于。NEX,然后里边来一个什么呢?杠N加上你民营空间的名字肉DEMO,咱用它来做一个创建,就现在把这个我们应该就串出来了,用这个命令我们给它做到,然后做到之后我们做个查看,CU ctl get pods加上杠N肉。
02:15
DEMO里边有我们创建这个index,这样的话完成了一个。命名空间创建啊,这是我们的第二部分,这些跟之前都一样啊,咱就快速演示,然后创建之后呢,我们的第三步开始进入到我们的核心地方,第三步干什么呢?因为咱这里边我们用的是RBAC,咱是不是要创建一个角色呀,然后创建角色之后为角色是不是要做一个角色的绑定了,所以里边的第三步我们就创建一个角色,把这个咱做创建,那怎么创建我写一下啊。就是我这里边呢,给大家提供了一个样文件,这个文件叫RBAC肉,那咱们把它打开我们看一下啊,就是这个就是我们要建一个角色,然后这里边命运空间改成咱们刚才那空间,我们叫肉。
03:04
DEMO这是它那个名字,所以咱现在把这个我们就做个创建,在里边用亚入文件建一个角色,我来一个V,然后来一个RBAC杠肉点。样在里边把内容咱们分过去,注意名称空间不要写错,写成当前的,然后咱把它做一个。保存,这样的话,我们就创建一个肉,然后这个肉对我的port有get watch,还有list权限,但对别的资源它没有权限,只对port有权限,你看这里写的很清楚,Resource po,然后权限get watch list,这个啊,我们就做了一个创建,就创建这么一个role,然后把它执行。A-FRB。AC这个肉把它可以做到啊,这是我们这样一个操作,但是现在呢,我这个是在一个Lucy目录下,那我给他换一个目录啊。
04:04
想给他换目录,换到他的上层目录,这里边之前应该有这些文件,我把文件先给它删掉,为了咱更明显啊。Rac肉。点样文件,我先把这文件先都给它删掉啊,要不然咱一会儿看的不清晰,我再删一下,叫rac这个文件给它也删掉,就把里面这些文件全都给它删掉,然后删掉之后我们再重新进行操作。因为刚才是在我们的。Lucy里边咱给它复制出去啊,就是RB。AC杠肉给它复制到我们的那个上层目录,就是这个root。这里边去啊,然后咱们回来看一下里边有这文件,咱查看一下RBAC是不是可以了啊,这是我们刚才那个文件啊。给它拿出来,然后拿出来之后我们执行一下库,Ctlo play,杠、FRBC,点要文件,把这个我们做创建,创建之后现在在这里边把角色我们就做到了,做到之后咱可以查看一下这个角色,我们用的是CU ctl get肉。
05:19
这能查看所有,但咱现在指定名称空间,我们这个肉。DEMO,各位看po RI是不是我这个名字,所以咱现在把这个角色就做了一个创建,里边就这个步骤,我把核心的给各位截个,截一下,主要是这是创建,然后这是查看。这我们就做到了啊,创建一个角色,就各位把这些应该能给他快速做到,因为咱之前一直在写这些操作,然后这个创建之后,咱下面就创建角色的一个绑定啊,就开始做这个绑定过程,也就是里边的。第四步。我写下啊,第四步创建。
06:01
角色的一个绑定,就给他绑定一个用户,那这里边呢,我们也是用一个样文件操作样文件,我叫这个R啊,咱看一下我这里听出来了这个。RBAC这个肉帮顶创建这么一个名字的文件啊,那我创建啊。点。了,然后把文件内容咱们也是给他直接复制过来,咱来看一下啊,里边就是绑定这个用户,这用户我的名字我就叫Lucy啊,比如咱改一个我叫Mary,换个名字,然后这里边加上你那个名称空间的那个名字肉DEMO把这一部分我们来做一个创建。然后把它复制啊,注意这些别写错里边啊,这是肉DEMO,我现在的用户名字叫麦,然后现在把它。保存,这样的话,把这文件我们就创建出来了,创建之后咱们还是做一个执行。
07:01
Play-F。这个叫RBAC。肉。邦的样了,把它创建,然后最后咱做个查看。Ctl get肉,这个叫肉帮顶。然后里边加上杠N,加上你那个名称空间,然后大家看这时候能看到啊,这是我们的角色,还有角色一个绑定,它绑定那用户,首先咱们写那个麦。这样的话,把这个我们就做到了啊,就是里边的这个过程,创建角色的绑定,然后创建之后呢,咱下面干什么呢?因为我们现在操作中,咱是给他授权,是不是要有用到我们那个证书的方式,所以第四步呢,我们就使用证书来识别他的身份,就是下一步操作。我写一下啊,对应到是我们的第五步,使用证书来识别他的身份,就是咱们做一个证书的这么一个过程,那怎么做写一下啊,比如现在我先来一个文件或者一个目录,我们叫这个。
08:09
Mary,然后进入到麦里边,在Mary里边呢,我们执行一个脚本文件,这脚本文件给各位也是提供出来了,然后就是在我这里边有一个叫RA abbc userr,把它呢直接给它就是放到我们这里边来。这边有个marry,我就直接就。拖过来,然后拖过来之后,咱们把这文件来查看一下啊。这个文件咱们看啊,里边咱看这过程。首先在这个文件中,我们有一个Mary CR CSR Jason这么一个证书的这么一些新闻文件,然后里边用到相关这个证书,包括过程中他会给咱创建里边这个,比如说你看啊,这个位置,你需要改成你当前这个机器这个IP。改一下啊,我们是四四点。
09:01
147。改一下啊,然后下面会给你创建这个就是config啊,包括新闻内容,然后各位看啊,它里边有一个叫Mary。Co config把这个为我们创建,因为咱们那个名字叫mad,最终给它做一个。保存这个文件,我们就修改了,修改之后再来执行一下。就是呃,注意这个是sa文件啊,不是用这个执行,因为是一个脚本文件,所以脚本文件的我们就直接执行可以了,但是执行的时候呢,刚才咱也看到了,里边有很多的证书文件。你看啊,这个文件,所以咱们需要到其他目录中呢,把那证书文件给它就复制过来,要不然里边会有问题,然后证书文件呢,因为我这用的是那二进制那个集群里边更明显啊,在这里边呢,咱应该是在这个TS里边一个K8S是不是有这证书文件,那我就把这些文件给它复制过来就可以了,就把C开头文件都进行一个复制,那咱们到里边复制一下啊,我直接写一个CP。
10:06
在我们的root里边,TS中的。K8S。啊,这个就是。可以把S,然后里边C开头的给它复制到我们的当前目录中来,咱做个复制,然后咱们看里边是不是有这个文件,这样的话就完成复制。这个啊,我们就做到了啊。然后做到之后,最后我们来执行,来一个base叫RAABC.sh现在我们就完成了一个执行,就把脚本文件最终就定出来了啊它里边。就是这么一个过程,然后把这个给各位我来截一下,主要是里边我们改这个交付文件,然后复制证书,然后最后把它执行。然后执行之后,最后我们来查看一下啊,怎么查看呢?大家看啊,首先第一个你注意啊,里边会多出一些文件,一个叫Mary cooper config,咱们把这个文件查看一下。
11:09
叫CU config。然后你看啊,里边是不是有证书这些东西,等于它会生成证书嘛,用这个进行查看,包括比如现在我们来进行一个最终的测试,怎么测试呢?因为刚才我们说的它对pod只能进行查看,那我们来查看一下哈。Ctl POS。然后在里边我们加个杠N,加上我那个名称空间,我们看是不是可以查看,比如现在我改一个,我改一个叫SVC。是没有东西看不到吗?因为我现在只对pod有利权限,这样的话咱们就完成了。这么一个过程啊,就咱们最终进行了一个测试,所以这样的话呢,我们通过这个RBAC就进行了这么一个。健全的过程,按照我这过程名称空间,在新的名称空间中建pod,然后创建角色,创建角色绑定,最终使用证书进行身份认证,所以把这过程我们就完成操作,而这过程呢,我是在我们那个二进制那个基金中做了一演示啊,当然用库文的密那种基金中也可以做到,只是里边有很多复制不是很方便,因为二进制里边,但当时胜出过各种证书,用它会特别方便,所以这个演示呢,建议各位同学演示在我们那个。
12:26
二进制搭建的集群中进行测试,因为这个会特别方便啊,因为它里面直接有现成的东西,你直接做,如果你在库头命中,那很多东西可能还需要重新生成,这样的话,咱现在把这个过程我们就做到了,通过RBAC的方式做到一个对普通用户,针对民生空间的一种健全的过程,所以各位把这过程就知道,通过这个过程你就知道RBAC,包括KS中这种安全机制的一些基本特点。
我来说两句