【certs】普通用户配置密钥k8s apiserver https访问权限

已于 2022-11-14 23:16:39 修改
阅读量818 收藏
点赞数
分类专栏: Kubernetes Golang 文章标签: java 开发语言 后端
于 2022-01-15 15:28:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javahuazaili/article/details/122510874
版权

反解析证书信息,获取详情:
    openssl x509 -in cc/ca.crt -noout -issuer -subject -dates
输出客户端前面信息:
    openssl x509 -noout -text -in ./client.crt

0、certificate-authority-data

    根证书(ca.crt)内容进行base64转码,去除换行后填到 certificate-authority-data 后面

1、client-key-data 生成客户端私钥文件

openssl genrsa -out client.key 2048
cat client.key |base64 后的值填到client-key-data    

2、client证书 client-certificate-data

2.1 csr.conf文件内容:

    [ req ]
    default_bits = 2048
    prompt = no
    default_md = sha256
    req_extensions = req_text
    distinguished_name = dn 

    [ dn ]
    CN = example-user

2.2、创建证书创建请求:

    openssl req -new -key client.key -out client.csr -config csr.conf
    生成client.csr


2.3 用kubernetes的根证书以及私钥签发客户端证书(注意这里的cat.crt,ca.key 是k8s的根证书)

openssl x509 -req -in client.csr -CA cc/ca.crt -CAkey cc/ca.key -out client.crt -CAcreateserial -days 100000

  
2.4 client.crt证书内容转码

    cat client.crt |base64 
    将输出的值去除换行后替换到   client-certificate-data

 

 

valisweet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s(五)认证&授权
一个大呲花的博客
09-08 916
快速获取资源清单格式 1. kubectl create deployment mydeploy -o yaml --dry-run 2. kubectl get pod mypod -o yaml --ex
K8s集群搭建ansible部署脚本
04-21
我个人给公司开发的使用ansible部署k8s的脚本,支持vagrant调用ansbile,和直接ansible执行两种方式。k8s二进制组件使用最新的1.23.5 部署以下模块内容包括: preinstall 安装前准备,主机环境初始化,二进制文件...
kubernetes API Server 权限管理实践
weixin_33734785的博客
08-13 336
为什么80%的码农都做不了架构师?>>> ...
k8s https访问api
yangbosos的博客
04-16 4446
ApiServer认证,认证一共有三种方式: 1)Https双向认证,是双向认证啊,不是单向认证(最安全)。 2)Http Token认证 3)Http Base认证,用户名和密码 我们之前介绍http方式是没有任何认证措施的,也就是说只要能访问master的主机都可以与其进行通信。特别说明:kubectl命令行工具既同时支持CA双向认证也支持简单认证(http base或...
K8S Api Server认证
weixin_34228617的博客
05-28 2286
目录 认证类型 基于CA证书的双向认证 apiserver配置 生成客户端私钥和证书 master核心组件与apiserver的认证方式 HTTP Token认证 HTTP Basic认证 kubectl conf...
K8S 集群中的认证、授权与kubeconfig
weixin_38320674的博客
04-07 7077
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
k8s部署Dashboard
01-07
k8s部署Dashboard 下载Dashboard所需的yaml文件 wget https://www.cloudelf.cn/kubernetes/kubernetes-dashboard.yaml 修改yaml文件: 1.将service type字段设置为nodeport 2.所有的ns修改为kube-system 注意:所有...
nginx使用ssl模块配置支持HTTPS访问的方法
09-30
这样配置后,当用户访问HTTP版本的网站时,会被自动重定向到HTTPS版本。 最后,启动或重新加载Nginx服务器,以应用新的配置: ```bash /usr/local/nginx/sbin/nginx -s reload ``` 如果在nginx配置文件中出现错误...
k8s证书过期处理方案
11-17
Kubernetes证书管理是集群稳定运行的关键环节,当证书过期时,会导致各种操作受阻,例如无法创建Pod,kubectl命令失效,甚至是Kubernetes Dashboard无法访问。本文主要探讨的是针对kubeadm部署的Kubernetes集群中...
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
在Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于加密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...
K8s第七篇授权认证
weixin_43803147的博客
01-02 7756
K8s授权认证: 认证检查:检查是否为合法的用户,支持多种认证插件,用户只要通过一种插件的认证,则为合法的用户。 授权检查:检查用户的权限。 准入控制:如果用户的操作关联到多个资源,则进行准入控制检查。 客户端可以通过API Server的URL对资源进行操作: user:username,uid。 group:组。 extra:额外信息。 API Request Path:K8sAPI...
k8scertificate-authority转化为certificate-authority-data
qq_39251759的博客
03-07 900
在搞k8s的时候,高了半天发现这里出错,输出证书内容的格式不对 应该用以下命令将其转换为base64格式: cat "/path/to/certificate-authority" | base64 LS0tLS1CRUdJTiBSU0EgUFJJVkF******************tLS0tLQo= 否则的话会报错: (Caused by SSLError(SSLError(185090184, '[X509] no certificate or crl found (_ssl.c:3732)')
二十三、K8s集群强化1-认证
tushanpeipei的博客
12-12 4738
通过K8s认证保证集群的安全性
【kubernetes】kubernetes中的安全和认证
最新发布
追寻梦想的青春
10-02 1125
时,返回了百度的证书,为了得到并验证百度的公钥,又必须有签发给百度证书的GlobalSign Organization Validation CA机构的公钥,因此,客户端又必须有GlobalSign Organization Validation CA机构的证书,从而可以从中提取出百度的公钥。kubernetes中的所有组件通信时都采用HTTPS双向认证,而部署时不可能为他们申请证书,因此,在部署kuberentes时通常都是先生成自签名证书,然后用该证书作为根证书,后续的证书都通过它签发。
【云原生】K8S的安全机制
怎么也想不出名字的博客
03-15 2403
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
Linux企业运维——Kubernetes(十三)访问控制
weixin_44310047的博客
08-23 354
Linux企业运维——Kubernetes(十三)访问控制 文章目录Linux企业运维——Kubernetes(十三)访问控制1、基本概念2、API Server认证2.1、ServiceAccount(SA)2.2、UserAccount(UA)3、授权 1、基本概念 kubernetes API 访问控制过程:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client C
kubernetes 基础
m0_46289146的博客
12-20 705
k8s基础k8s基础概念pod分类自助式pod控制器管理的pod核心组件HPAserviceAddOne附件k8s网络模型Kuber管理工具Kuberctl命令的使用 k8s基础概念 pod分类 自助式pod 自我管理的pod,创建以后仍然需要提交给apiserver,由apiserver接收以后借助于调度器将其调度至指定的node节点,由node启动此pod 如果此pod出现故障,需要重启容器则由kubelet来完成 如果node节点故障了,那么此pod将会消失。其无法实现全局调度。所以不推荐使用此种po
体验K8S的x509认证及RBAC授权机制
docker、kubernetes学习笔记
05-17 1077
先让我们重温两个英文单词:authentication(认证)、authorization(授权)。 今天的实验目标: 1)基于X509证书方式来完成authentication(认证)。 2)基于RBAC方式来完成authorization(授权) 环境说明: 操作步骤: 第1步:生成Private key文件: 执行: 查看一下生成的Private key文件: 第2步: 使用私钥生成csr请求文件: 查看csr文件: 第3.
k8s--kubernetes访问控制
Gong_yz的博客
03-14 850
Authentication(认证)认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值