摘要:认证集群的操作可以通过来进行操作,命令最终也是调用的,如果想要获取对进行操作,需要先通过其认证的认证方式基本认证在中拥有以列为单位的认证信息,格式为,,示例,,,,然后在启动的时候加上这个参数,启动起来过后再在使
kubernetes认证
Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证
api-server的认证方式:
基本认证:basic-auth
--basic-auth-file=/path/to/basic-auth.csv
在basic-auth.csv中拥有以列为单位的认证信息,格式为password,username,uid
示例:
passwd,kinderao,1 password2,test,2
然后在 kube-apiserver启动的时候加上--basic-auth-file=/path/to/basic-auth.csv这个参数,启动起来过后再在使用k8s的api就需要加上认证信息,否则就会unauthorized,加认证信息的方法是在http请求的header中添加一个Authorization,value是Basic base64编码后的用户名密码信息
Token认证:token-auth
--token-auth-file=/path/to/token-auth.csv
在token-auth.csv中拥有以列为单位的认证信息,格式为token,username,uid
示例
token,kinderao,1 token2,kinderao2,2
同样也是在apiserver的启动参数里面加入--token-auth-file=/path/to/token-auth.csv这个参数,然后在请求的时候同样在header中添加Authorization,value是Bearer token
CA证书认证:
在使用证书认证之前首先需要申请证书,证书可以通过权威CA来申请,也可以通过自签证书,不过部署kubernetes的大多数环境都是内网环境,所以更多的还是使用的是自签证书。
生成证书的步骤如下:
首先需要你的linux系统上安装有openssl,大多数的linux发行版都带有这个工具,使用openssl生成根证书cacert:
# 生成密钥 openssl genrsa -out ca.key 2048 # 生成根证书 openssl req -x509 -nodes -key ca.key -subj "/CN=yourcomany.com" -days 5000 -out ca.crt
为server生成证书:
# 生成server的密钥 openssl genrsa -out server.key 2048 # 生成证书申请,其中的hostname需要填入你的服务器的域名或者ip地址,这个地方有个坑 # 就是在这填入的是什么地址,在client请求的时候就要使用这个地址,之前配的是ip,但是请求的时候使用主机名,导致一直没有出现bad certificate的问题 openssl req -new -key server.key -subj "/CN=`hostname`" -out server.csr # 使用刚才生成的根证书以及密钥来生成server的证书 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
再为client生成证书:
# 生成client的密钥 openssl genrsa -out client.key 2048 # 生成证书申请,这里需要填的地址和上面的server一致即可 openssl req -new -key client.key -subj "/CN=`hostname`" -out client.csr # 使用根证书和密钥来生成client的证书 openssl x509 -req -in client.csr -CA ca.crt -CAcreateserial -out client.crt -days 5000
配置api-server的启动参数,在apiserver的启动参数中加上下面的启动参数
--secure-port=443 --client_ca_file=/root/genkey/ca.crt --tls-private-key-file=/root/genkey/server.key --tls-cert-file=/root/genkey/server.crt
也可以放到/etc/kubernets/apiserver配置文件的args参数里面
启动kube-apiserver会看见一下日志:
I0330 05:17:46.582385 4776 config.go:531] Will report 10.0.0.103 as public IP address. [restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] listing is available at https://10.0.0.103:443/swaggerapi/ [restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] https://10.0.0.103:443/swaggerui/ is mapped to folder /swagger-ui/ I0330 05:17:46.950556 4776 serve.go:104] Serving securely on 0.0.0.0:443 I0330 05:17:46.950618 4776 serve.go:118] Serving insecurely on 127.0.0.1:8080
我们在本机上使用curl来验证一下:
curl https://hostname:443 --cacert ca.crt --key client.key --cert client.crt
以后的请求都需要带有根证书和client key和client的证书
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/33020.html
摘要:认证集群的操作可以通过来进行操作,命令最终也是调用的,如果想要获取对进行操作,需要先通过其认证的认证方式基本认证在中拥有以列为单位的认证信息,格式为,,示例,,,,然后在启动的时候加上这个参数,启动起来过后再在使 kubernetes认证 Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserv...
摘要:认证设置中,验证用户是否有权限操作的方式有三种证书认证,认证,基本信息认证。其文件的基本格式包含三列,,。当使用此作为认证方式时,在对的请求中,增加一个字段,将它的值设置为 kubernetes认证设置 kubernetes中,验证用户是否有权限操作api的方式有三种:证书认证,token认证,基本信息认证。 证书认证 设置apiserver的启动参数:--client_ca_f...
摘要:源码版本简介是最重要的组成部分,不论是命令操作还是通过进行控制,实际都需要经过。仅用于长时间执行的请求最小请求处理超时时间,默认仅用于该文件内设置鉴权机构一组用于运行时的配置信息。在最后会启动服务。 源码版本 Kubernetes v1.5.0 简介 apiserver是K8S最重要的组成部分,不论是命令操作还是通过remote API进行控制,实际都需要经过apiserver。api...
摘要:拷贝到目录拷贝到其他配置首次启动时向发送请求,验证请求中的是否与它配置的一致,如果一致则自动为生成证书和秘钥。 紧接上一章 8. MASTER节点配置 8.1 安装组件 上传kubernetes-server-linux-amd64.tar.gz tar -xzvf kubernetes-server-linux-amd64.tar.gz cd kubernetes cp -r ser...
摘要:拷贝到目录拷贝到其他配置首次启动时向发送请求,验证请求中的是否与它配置的一致,如果一致则自动为生成证书和秘钥。 紧接上一章 8. MASTER节点配置 8.1 安装组件 上传kubernetes-server-linux-amd64.tar.gz tar -xzvf kubernetes-server-linux-amd64.tar.gz cd kubernetes cp -r ser...
阅读 2325·2021-11-18 10:02
阅读 1884·2021-10-13 09:40
阅读 2976·2021-09-07 10:07
阅读 2081·2021-09-04 16:48
阅读 963·2019-08-30 13:18
阅读 2433·2019-08-29 14:03
阅读 2892·2019-08-29 12:54
阅读 3135·2019-08-26 11:41
