不安全连接k8s集群

最新推荐文章于 2023-08-01 14:11:26 发布
最新推荐文章于 2023-08-01 14:11:26 发布
阅读量4.9k 收藏 1
点赞数 1
文章标签: 安全 linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjt_zaj/article/details/122847958
版权
当在公司内网环境中尝试使用kubectl访问使用公网IP的k8s集群时,由于证书签发的IP为内网IP,导致证书认证失败。解决方法是在kubectl命令中添加--insecure-skip-tls-verify参数或者修改kubeconfig文件,启用不验证服务器证书。不过,这可能会带来安全隐患。参考链接提供了详细步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

我们知道,要能使用kubectl命令操作k8s集权,需要将主节点的.kube/config文件复制到当前机器。并安装kubectl(将二进制文件复制到当前机器即可)。
我们目前使用的环境是云上的环境,和公司内网不通。想要在公司内网机器上访问k8s集群(server的ip信息填写的是公网ip)时,报错如下:

[ucloud@kafka .kube]$ kubectl get ns
Unable to connect to the server: x509: certificate is valid for 127.0.0.1, 10.0.0.1, 10.9.55.132, 10.9.71.11, 10.9.98.182, 10.9.10.72, not ....

原因及解决办法

云主机,k8s证书签名的时候签的是内网ip,并不是eip,外网ip ,所以证书认证失败,跳过证书认证即可

--insecure-skip-tls-verify[=false]: 如果为true,将不会检查服务器凭证的有效性,这会导致你的HTTPS链接变得不安全。
输入命令时加上参数--insecure-skip-tls-verify

kubectl get ns --insecure-skip-tls-verify

这种方式还是比较麻烦的,每次输入命令都需要添加这个参数,而且需要使用k9s或helm这些工具也不行,所以在文件.kube/config里加上参数--insecure-skip-tls-verify,并去掉参数certificate-authority-data:

- cluster:
    server: https://ip-public:6443
    insecure-skip-tls-verify: true

参考链接: https://www.kubernetes.org.cn/doc-45

jjt_!!
关注
k8s dashboard部分浏览器无法访问
漠效的博客
06-19 3071
前言 当我们在配置完成dashboard,想要从浏览器查看的时候,通常会发现除了火狐浏览器。谷歌等大部分的浏览器,都无法进行访问。这种情况,我们可以通过自定义证书的方法,来使其他浏览器可以对dashboard进行访问。 这里就介绍dashboard的配置操作了。 证书生成 创建CA 如果/etc/kubernetes/pki/或其他位置有ca证书,就无需另外生成 openssl genrsa -out ca.key 2048 openssl req -new -x509 -key ca.ke
【Kubernetes】k8s集群安全机制
weixin_68840588的博客
08-19 1102
k8s集群安全机制
k8s技术预研5--Kubernetes集群安全设置
watermelonbig的专栏
02-28 982
一、基于HTTP BASE的简单认证方式各组件与apiserver之间的通信方式仍然采用HTTPS,但使用CA数字证书。建议在生产环境中这样使用。1、配置支持HTTP BASE认证在Master Node上创建/etc/kubernetes/basic_auth文件,文件中每行的格式为password,user,uid,"group1,group2,group3"。 [root@bogon k...
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
weixin_39518516的博客
08-01 1889
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
【CKA考试笔记】十五、安全管理:验证与授权
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
kubectl命令总结
柠是柠檬的檬的博客
08-19 3821
kubectl命令总结
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
helm部署应用到k8s集群(helm+k8s-详细文档
06-21
helm 部署应用到 k8s 集群详细文档 本文档详细介绍了使用 Helm 部署应用到 Kubernetes 集群的过程。Helm 是一个 Kubernetes 的包管理工具,能够方便地将之前打包好的 YAML 文件部署到 Kubernetes 上。 Helm 有三个...
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会...
k8s集群下canal-adapter连接canal-server实践
01-07
k8s集群下adapter连接server域名问题改造前言问题解析解决方案 前言 成也容器重启,败也容器重启,说好的重启治百病,在容器这里,是重启出百病啊! 之前说过,我们使用statefuset类型使canal-server域名固定之后又...
配置kubectl客户端通过token方式访问kube-apiserver
weixin_33872660的博客
11-13 655
帮助文档 使用的变量 本文档用到的变量定义如下: $ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP $ export KUBE_APISERVER="https://${MASTER_IP}:6443" $ 创建 kubectl config 文件 $ # 设置集群参数 ...
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 5515
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
config kubectl_kubectl config 命令使用说明
weixin_33328213的博客
01-17 4401
kubectl config 命令用来管理kubeconfig文件。一、查找要操作的kubeconfig 文件顺序1、如果使用--kubeconfig选项,则指定的文件为要操作的文件。此选项只能被设置一次,并且会合并其他文件。2、如果设置了$KUBECONFIG环境变量,将同时使用此环境变量指定的所有文件列表(使用操作系统默认的顺序),所有文件将被合并。当修改一个值时,将修改设置了该值的文件。当...
kubectl命令之kubectl apply
热门推荐
菲宇运维
08-24 5万+
kubectl apply 通过文件名或控制台输入,对资源进行配置。 摘要 通过文件名或控制台输入,对资源进行配置。 接受JSON和YAML格式的描述文件。 kubectl apply -f FILENAME 示例 # 将pod.json中的配置应用到pod $ kubectl apply -f ./pod.json # 将控制台输入的JSON配置应用到Pod $ cat po...
kubernetes1.2认证鉴权
Shaw_Young的专栏
12-06 755
kubernetes1.2认证鉴权
Kubernetes集群安全配置
大树叶 技术专栏
11-25 4383
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群安全,甚至可以说是“完全设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
彻底搞懂 etcd 系列文章(五):etcdctl 的使用
aoho求索
07-07 4711
0 专辑概述etcd 是云原生架构中重要的基础组件,由 CNCF 孵化托管。etcd 在微服务和 Kubernates 集群仅可以作为服务注册与发现,还可以作为 key-value ...
k9s连接k8s集群
最新发布
04-02
### 如何使用 K9s 连接到 Kubernetes (k8s) 集群 要使用 K9s 连接至 Kubernetes 集群,需先完成必要的配置和环境准备。以下是实现这一目标的关键要素: #### 1. 安装 K9s K9s 可以通过多种方式安装,具体取决于操作系统的选择。例如,在 Linux 或 macOS 上可以通过以下命令下载最新版本的二进制文件[^4]。 ```bash curl -sS https://webinstall.dev/k9s | bash ``` 此脚本会自动检测系统的架构并安装适合的 K9s 版本。 #### 2. 配置 kubeconfig 文件 K9s 使用 `kubeconfig` 文件来识别和连接到指定的 Kubernetes 集群。默认情况下,K9s 尝试读取位于 `$HOME/.kube/config` 的 kubeconfig 文件。如果存在多个集群配置,则可以切换当前上下文以指向所需的集群[^3]。 可通过以下命令验证当前 kubeconfig 设置以及可用的上下文列表: ```bash kubectl config get-contexts ``` 设置活动上下文以便 K9s 自动加载该配置: ```bash kubectl config use-context <your-cluster-context> ``` #### 3. 启动 K9s 并访问集群 一旦完成了上述准备工作,启动 K9s 即可进入其终端用户界面(TUI)。执行以下命令即可打开 K9s 应用程序: ```bash k9s ``` 此时,K9s 将尝试基于当前 kubeconfig 中定义的上下文连接到对应的 Kubernetes 集群,并显示资源状态概览页面[^1]。 如果有自定义路径下的 kubeconfig 文件或者需要临时覆盖默认行为,可以在启动时传递 `-c|--kubeconfig` 参数显式指定配置位置: ```bash k9s --kubeconfig=/path/to/custom-kubeconfig.yaml ``` #### 4. 常见问题排查 - 如果无法成功连接,请确认网络连通性和权限是否满足需求。 - 检查 kubeconfig 是否正确无误,尤其是认证证书部分是否存在过期或错误的情况[^5]。 --- ### 示例代码片段 假设有一个名为 `mycluster` 的特定上下文,可以直接通过如下方法激活并与之关联: ```bash kubectl config use-context mycluster && k9s ``` 这一步骤简化了手动切换操作流程,使整个过程更加流畅高效。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值