基于 kubeconfig 认证的 k8s 用户账号创建案列

在 Kubernetes 集群中创建用户账号时，通常会使用 kubeconfig 文件来进行认证和授权，其中 CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制。

• 系统环境：Anolis OS release 8.8
• 内核版本：Linux Kernel 5.10.134-13.an8.x86_64
• Kubernetes 版本：v1.28.3

创建证书签名请求

1、创建用户证书私钥

mkdir user1 && cd user1
openssl genrsa -out user1.key 2048
openssl req -new -key user1.key -out user1.csr -subj "/CN=user1/O=xiaomi"

2、创建证书签名请求文件 user1.csr 对应的 k8s 资源

# 对证书签名请求文件 user1.csr 进行 base64 编码
cat user1.csr | base64 | tr -d "\n"

kubectl apply -f - <apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: user1
spec:
  groups:
  - system:authenticated
  request:  LS0tLS1CRUdJTiBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0KTUlJQ1p