客户端证书访问 Kubernetes api

最新推荐文章于 2022-12-26 18:02:20 发布
最新推荐文章于 2022-12-26 18:02:20 发布
阅读量316 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahwxl/article/details/127164280
版权

1.查看客户端证书

more /etc/kubernetes/manifests/kube-apiserver.yaml

 

2.更新镜像文件

curl https://192.168.1.9:6443/apis/apps/v1/namespaces/default/deployments/config-deployment -v -k -X PUT \
  -H "content-type: application/yaml" \
  --key /etc/kubernetes/pki/apiserver-kubelet-client.key \
  --cert /etc/kubernetes/pki/apiserver-kubelet-client.crt \
  -d '---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: config-deployment
spec:
  selector:
    matchLabels:
      app: cloud_config
  replicas: 2
  template:
    metadata:
      labels:
        app: cloud_config
    spec:
      containers:
      - name: cloud-config
        image: 192.168.1.12/canary/cloud-config:v20220622.17.46.22 # 
        ports:
        - containerPort: 8082
  ' \

这里header 设置是 content-type: application/yaml,(PS:尝试json 没成功)

 

3.jenkins 构建、部署服务shell脚本

cd cloud-config
/usr/local/maven/apache-maven-3.8.6/bin/mvn package -DskipTests=true
DATE=$(date +%Y%m%d.%H.%M.%S)
wget -O ./Dockerfile http://192.168.1.254:9595/beeadmin/app/download
docker build  . -t 192.168.1.12/canary/cloud-config:v$DATE
docker login 192.168.1.12 -u admin -p Harbor12345
docker push 192.168.1.12/canary/cloud-config:v$DATE
docker rmi 192.168.1.12/canary/cloud-config:v$DATE
curl https://192.168.1.9:6443/apis/apps/v1/namespaces/default/deployments/config-deployment -v -k -X PUT \
  -H "content-type: application/yaml" \
  --key /etc/kubernetes/pki/apiserver-kubelet-client.key \
  --cert /etc/kubernetes/pki/apiserver-kubelet-client.crt \
  -d '---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: config-deployment
spec:
  selector:
    matchLabels:
      app: cloud_config
  replicas: 2
  template:
    metadata:
      labels:
        app: cloud_config
    spec:
      containers:
      - name: cloud-config
        image: 192.168.1.12/canary/cloud-config:v'$DATE' # 
        ports:
        - containerPort: 8082
  ' \

4.Dockerfile文件内容

FROM majiajue/jdk1.8:latest
COPY target/cloud-config-0.0.1-SNAPSHOT.jar app.jar
EXPOSE 8082
ENTRYPOINT ["java","-jar","/app.jar"]

问题:

jenkins调用docker命令行报错

Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.24/build?buildargs=%7B%7D&cachefrom=%5B%5D&cgroupparent=&cpuperiod=0&cpuquota=0&cpusetcpus=&cpusetmems=&cpushares=0&dockerfile=Dockerfile&labels=%7B%7D&memory=0&memswap=0&networkmode=default&rm=1&shmsize=0&t=192.168.1.12%2Fcanary%2Fcloud-config%3Av20221002.23.37.06&target=&ulimits=null&version=1: dial unix /var/run/docker.sock: connect: permission denied

解决:

将 jenkins 账号加入到 root 组中。

gpasswd -a jenkins root

chmod 777 /var/run/docker.sock

重启 Jenkins

systemctl start jenkins

ahwxl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes中的证书工作机制详解
11-29
Kubernetes 中,每个组件都可能需要服务器端证书(含公钥和私钥)、客户端证书(同样含公钥和私钥)以及相应的 CA 根证书来验证对方的身份。 - 服务器端证书:证明服务器身份的数字证书,包含服务器的公钥和身份...
kubernetes-client:一个简单而优雅的客户端,用于访问和控制 Kubernetes 集群(https
08-04
composer require maclof/kubernetes-client支持的 API 功能v1 节点命名空间豆荚副本集复制控制器服务秘密活动配置地图端点持久卷持久卷声明批次/v1 工作批次/v1beta1 定时任务应用程序/v1 部署扩展/v1beta1 守护...
kubernetes(k8s)集群内查看master节点api-server地址信息及服务证书key
u013659506的博客
08-30 7642
k8s集群部署后通常会用到apiserver和ca证书,供其他依赖k8s原生功能的应用调用
apiserver启动证书认证
国产-达芬奇
01-13 434
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
Kubernetes 安全之访问控制 API 请求访问控制和认证
小楼一夜听春雨,深巷明朝卖杏花
03-27 796
本文将主要分享以下三方面的内容: Kubernetes API 请求访问控制 Kubernetes 认证 Kubernetes RBAC Security Context 的使用 一、Kubernetes API 请求访问控制 访问控制 大家都知道访问控制是云原生中的一个重要组成部分。也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段。 那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作。这里的资源就是在 Kubernetes 中我们.
Kubernetes集群安全:Api Server认证
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 3426
Kubernetes提供了三种级别的客户端认证方式: HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证 HTTP Token认证,通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。 ...
Kubernetes v1.14.0 之 kube-apiserver 部署
weixin_34396103的博客
06-03 1416
kube-apiserver 准备 1、kube-apiserver 服务器配置 对外ip 内网ip cpu 内存 硬盘 192.168.3.10 172.172.1.1 64 256 1T 192.168.3.11 172.172.1.2 64 256 1T 192.168.3.12 172.172.1.3 64 256 1T 192.168.3.13 172.172....
部署kubernetes所需的软件包
最新发布
11-04
提供外部访问Kubernetes服务的能力,实现负载均衡和路径路由。 12. **CoreDNS或Kube-DNS**: 作为集群内部的服务发现机制,解析Pod和服务的DNS名称。 在部署过程中,你需要根据具体的环境和需求选择合适的组件和...
Kubernetes指南(Kubernetes Handbook)
03-19
Kubernetes 可用于资源控制、高可用性、端口映射、用户管理、GPU 支持、安全审计、备份恢复、证书轮换、大规模集群管理、大数据与机器学习应用、Serverless 架构等场景。对于常见问题,提供了详细的排错指南,涵盖从...
2、Kubernetes 集群安全 - 认证1
08-04
此外,kubeconfig文件是连接到Kubernetes集群的关键,它包含了集群的CA证书API Server地址、客户端证书和私钥,以及集群上下文信息。 ServiceAccount是解决Pod访问API Server认证问题的特殊机制。每个Pod可以关联...
k8s集群二进制安装--kube-apiserver部署
归来仍少年
09-28 1355
4.master上kube-apiserver部署 4.1 生成apiserver的证书 cd /root/TLS/k8s #配置ca-config vi ca-config.json { “signing”: { “default”: { “expiry”: “87600h” }, “profiles”: { “kubernetes”: { “expiry”: “87600h”, “usages”: [ “signing”, “key encipherment”, “server auth”, “clie
通过http调用k8s 的kube-apiserver接口
冰清雪酷的专栏
12-26 680
通过服务账号来调用api,赋予超级权限,可以访问所有接口。
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1568
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端证书。因为访问控制就是基于证书进行授权的。
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2763
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书的 CA 根证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群根 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
K8S-给集群创建一个用户,自定义证书访问apiserver
wangmiaoyan的博客
10-14 1505
首先查看apiserver的证书文件,默认的路径是/etc/kubernetes/pki [root@master ~]# cd /etc/kubernetes/pki/ [root@master pki]# ls apiserver.crt etcd apiserver-etcd-client.crt front-proxy-ca.crt apiserve...
深入理解kubelet认证和授权
徒行沙漠
01-31 2357
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
kubernetes二进宫系列——详解kubeadm生成的证书
一别两宽丶各生欢喜
03-01 1495
目录 详解kubeadm生成的证书 证书分组 Kubernetes 集群根证书 汇聚层证书 etcd 集群根证书 Serveice Account秘钥 详解kubeadm生成的证书 如果你使用过kubeadm部署过Kubernetes的环境, master主机节点上就一定会在相应的目录创建了一大批证书文件, 本篇文章就来说说kubeadm到底为我们生成了哪些证书Kubernetes的部署中, 创建证书, 配置证书是一道绕不过去坎儿, 好在有kubeadm这样的自动化工具, 帮我们去
kubernetes 集群的访问-证书方式
qq_37377136的博客
09-29 539
集群的访问官方文档 使用 kubeconfig 文件组织集群访问 简介: 在将集群、用户和上下文定义在一个或多个配置文件中之后,用户可以使用 kubectl config use-context命令快速地在集群之间进行切换 用于配置集群访问的文件有时被称为 kubeconfig 文件。 这是一种引用配置文件的通用方式, 并不意味着存在一个名为 kubeconfig 的文件。 准备开始前提: 1、Kubernets集群 2、kubectl 的版本应该与集群的 API 服务器使用同一次版本号(kubectl
kubernetes https外部用户证书访问
u011181610的博客
08-23 6306
问题:在弄k8s服务的时候一般和k8s集成的服务 如jenkins ansible等都支持serviceaccout认证, serviceaccout认证相对好弄一些(有时间我会写一下 serviceaccout的获取过程),今天碰到grafana要连接k8s集群,但是不支持serviceaccount,只能用证书了,本来我对https就有抵触心理,没办法只能硬着头皮去搞,翻看了官网的文档终于解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值