不安全连接k8s集群

最新推荐文章于 2023-08-01 14:11:26 发布
最新推荐文章于 2023-08-01 14:11:26 发布
阅读量4.2k 收藏 1
点赞数 1
文章标签: 安全 linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjt_zaj/article/details/122847958
版权

背景

我们知道,要能使用kubectl命令操作k8s集权,需要将主节点的.kube/config文件复制到当前机器。并安装kubectl(将二进制文件复制到当前机器即可)。
我们目前使用的环境是云上的环境,和公司内网不通。想要在公司内网机器上访问k8s集群(server的ip信息填写的是公网ip)时,报错如下:

[ucloud@kafka .kube]$ kubectl get ns
Unable to connect to the server: x509: certificate is valid for 127.0.0.1, 10.0.0.1, 10.9.55.132, 10.9.71.11, 10.9.98.182, 10.9.10.72, not ....

原因及解决办法

云主机,k8s证书签名的时候签的是内网ip,并不是eip,外网ip ,所以证书认证失败,跳过证书认证即可

--insecure-skip-tls-verify[=false]: 如果为true,将不会检查服务器凭证的有效性,这会导致你的HTTPS链接变得不安全。
输入命令时加上参数--insecure-skip-tls-verify

kubectl get ns --insecure-skip-tls-verify

这种方式还是比较麻烦的,每次输入命令都需要添加这个参数,而且需要使用k9s或helm这些工具也不行,所以在文件.kube/config里加上参数--insecure-skip-tls-verify,并去掉参数certificate-authority-data:

- cluster:
    server: https://ip-public:6443
    insecure-skip-tls-verify: true

参考链接: https://www.kubernetes.org.cn/doc-45

jjt_!!
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubectl 远程访问内网中的 kubernetes 集群
骑着蜗牛向前跑的博客
10-29 4623
之前自己在三台阿里云服务器上搭建了一套 kubernetes 集群,因为在是在内网中,所以每次部署都要先将 yaml 文件 scp 到 master 服务器上,再自己手动 ssh 到 master 上用 kubectl 执行部署命令,很是不方便。网上找了些资料,配置了下kubectl 远程访问内网k8s, 这篇文章记录下配置的细节。 scp 把集群kubectl 的配置拷贝到本地电脑。集群kubectl 的配置都存放在,~/.kube/config 文件中,将该文件拷贝到本地的~/.kube目录下
k8s dashboard部分浏览器无法访问
漠效的博客
06-19 2934
前言 当我们在配置完成dashboard,想要从浏览器查看的时候,通常会发现除了火狐浏览器。谷歌等大部分的浏览器,都无法进行访问。这种情况,我们可以通过自定义证书的方法,来使其他浏览器可以对dashboard进行访问。 这里就不介绍dashboard的配置操作了。 证书生成 创建CA 如果/etc/kubernetes/pki/或其他位置有ca证书,就无需另外生成 openssl genrsa -out ca.key 2048 openssl req -new -x509 -key ca.ke
k8s技术预研5--Kubernetes集群安全设置
watermelonbig的专栏
02-28 919
一、基于HTTP BASE的简单认证方式各组件与apiserver之间的通信方式仍然采用HTTPS,但不使用CA数字证书。不建议在生产环境中这样使用。1、配置支持HTTP BASE认证在Master Node上创建/etc/kubernetes/basic_auth文件,文件中每行的格式为password,user,uid,"group1,group2,group3"。 [root@bogon k...
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
最新发布
weixin_39518516的博客
08-01 1211
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
【CKA考试笔记】十五、安全管理:验证与授权
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
config kubectl_kubectl config 命令使用说明
weixin_33328213的博客
01-17 4200
kubectl config 命令用来管理kubeconfig文件。一、查找要操作的kubeconfig 文件顺序1、如果使用--kubeconfig选项,则指定的文件为要操作的文件。此选项只能被设置一次,并且不会合并其他文件。2、如果设置了$KUBECONFIG环境变量,将同时使用此环境变量指定的所有文件列表(使用操作系统默认的顺序),所有文件将被合并。当修改一个值时,将修改设置了该值的文件。当...
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会...
k8s集群下canal-adapter连接canal-server实践
01-07
k8s集群下adapter连接server域名问题改造前言问题解析解决方案 前言 成也容器重启,败也容器重启,说好的重启治百病,在容器这里,是重启出百病啊! 之前说过,我们使用statefuset类型使canal-server域名固定之后又...
离线部署k8s_1.18.3集群(二进制方式).zip
05-06
证书和密钥对于k8s集群安全通信至关重要。 **6. 设置网络插件** CNI是k8s网络的关键部分。解压`cni-plugins-linux-amd64-v0.8.6.tgz`,将其安装到指定目录(如 `/opt/cni/bin/`),并配置`/etc/cni/net.d`下的...
ansible自动化安装k8s集群
02-16
标题中的"ansible自动化安装k8s集群"意味着我们将使用Ansible playbook来配置和启动一个k8s集群,这通常包括以下步骤: 1. **环境准备**:确保所有节点满足Kubernetes的系统需求,如Linux发行版、内核版本、网络...
k8s搭建mongo分片集群
06-29
将 MongoDB 集群部署在 k8s 上,可以充分利用其自动化的运维能力,提高系统的稳定性和可扩展性。本文将详细介绍如何在 k8s 中搭建 MongoDB 分片集群。 **一、MongoDB 分片集群介绍** MongoDB 分片集群是一种水平...
k3s证书过期解决方法(终极解决-超级简单)
qq_41190902的博客
11-09 2942
官方文档说是到期前1个月重启会轮换,并且到期后不能再访问,因此要争取到到期前一个月,服务器要重启,网上有两种解决方案方案1 是手动设置到期时间,删掉相关CA文件,重启后,更新证书方案2 直接编写sh,重新生产自定义时间证书,替换。
k8s(kubernetes)常见故障处理总结——详细文档
qq_34953582的博客
06-21 8550
k8s(kubernetes)常见故障处理总结——详细文档
K8s普通用户配置权限解决User “system:anonymous“ cannot list nodes at the cluster scope
简云的博客
10-21 4206
cd $HOME sudo whoami sudo cp /etc/kubernetes/admin.conf $HOME/ sudo chown $(id -u):$(id -g) $HOME/admin.conf export KUBECONFIG=$HOME/admin.conf echo "export KUBECONFIG=$HOME/admin.conf" | tee -a ~/.bashrc
K8S 日常故障处理
热门推荐
建伟博客
01-28 1万+
K8S 日常故障处理
k8s安全 入门学习
Vic的博客
06-16 1057
云的定义看似模糊,但本质上,它是一个用于描述全球服务器网络的术语,每个服务器都有一个独特的功能。云不是一个物理实体,而是一个庞大的全球远程服务器网络,它们连接在一起,旨在作为单一的生态系统运行。这些服务器设计用于存储和管理数据、运行应用程序,或者交付内容/服务(如视频短片、Web 邮件、办公室生产力软件或社交媒体)。不是从本地或个人计算机访问文件和数据,而是通过任何支持 Internet 的设备在线访问 - 这些信息在必要时随时随地可用。...
kubernetes配置kubeconfig访问集群
纵横四海的博客
05-14 1万+
使用kubeconfig文件来组织关于集群,用户,名称空间和身份验证机制的信息。 kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的API服务器进行通信所需的信息。 默认情况下 kubectl使用的配置文件名称是在$HOME/.kube目录下 config文件,可以通过设置环境变量KUBECONFIG或者--kubeconfig指定其他的配置文件 详细配置内容信息请参...
集群外部署 Prometheus 监控 k8s
Jerry00713的博客
09-02 4309
1、一台普通的机器 192.168.18.92、k8s 集群一台master节点 192.168.18.7。
k8s创建集群calico连接不到集群
06-13
如果您在使用 Calico 网络插件创建 Kubernetes 集群时遇到了连接问题,可以尝试以下排查步骤: 1. 检查您的 Kubernetes 集群是否已正确安装和启动。可以使用 kubectl 工具检查节点和 Pod 的状态。 2. 检查您的 Calico 网络插件是否已正确安装和启动。可以使用 kubectl 命令检查 Calico 的 Pod 是否正在运行。 3. 检查您的网络配置是否正确。您可以尝试使用 kubectl 命令在不同的 Pod 之间进行连接测试,例如使用 curl 命令测试 Pod 之间的 HTTP 连接。 4. 检查您的网络策略是否正确配置。如果您已经启用了 Calico 网络策略,则需要确保您的策略规则正确地限制了 Pod 之间的网络访问。 5. 如果您使用的是云服务提供商的 Kubernetes 服务,例如 AWS EKS 或 GCP GKE,则需要确保您的集群网络已正确配置,以便在集群和云服务之间进行通信。 6. 最后,如果您已经尝试了以上所有步骤但仍无法解决问题,请考虑检查您的网络环境,例如网络防火墙或代理是否阻止了 Calico 网络插件的连接。 以上这些步骤可以帮助您排除一些常见的问题,但具体排查步骤可能会因集群环境和组件而异。如果您无法解决问题,请考虑联系相关技术支持或社区寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值