kubernetes 集群的访问-证书方式

最新推荐文章于 2024-03-31 17:00:38 发布
最新推荐文章于 2024-03-31 17:00:38 发布
阅读量525 收藏
点赞数
分类专栏: kubernetes 初级篇 文章标签: 运维 数据库 ruby
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37377136/article/details/108859278
版权

集群的访问官方文档
使用 kubeconfig 文件组织集群访问

简介:
在将集群、用户和上下文定义在一个或多个配置文件中之后,用户可以使用 kubectl config use-context命令快速地在集群之间进行切换

用于配置集群访问的文件有时被称为 kubeconfig 文件。
这是一种引用配置文件的通用方式,
并不意味着存在一个名为 kubeconfig 的文件。

准备开始前提:
1、Kubernets集群
2、kubectl 的版本应该与集群的 API 服务器使用同一次版本号(kubectl version --client)命令可查看信息
3、准备好证书

删除:

  • 删除用户,可以运行
 kubectl --kubeconfig=config-demo config unset users.<name>
  • 删除集群,可以运行
 kubectl --kubeconfig=config-demo config unset clusters.<name>
  • 删除上下文,可以运行
kubectl --kubeconfig=config-demo config unset contexts.<name>

一、创建证书

将证书统一存放在/etc/kubernetes/pki目录下

cd /etc/kubernetes/pki

(umask 077; openssl genrsa -out dengm.key 2048)
openssl req -new -key dengm.key -out dengm.csr -subj "/CN=dengm"    
openssl x509 -req -in dengm.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out dengm.crt -days 3650
openssl x509 -in dengm.crt -text -noout

#注解CN 填写集群访问的用户名

二、查看命令帮助

kubectl  config -h

在这里插入图片描述
三、创建存放访问文件

mkdir -p /root/kubernetes/k8sconfig

设置 KUBECONFIG 环境变量

export KUBECONFIG_SAVED=192.168.11.128

192.168.11.128 k8smaster主机的ip地址

接下来我们创建集群、用户名和上下文到一个文件中

四、将群集详细信息添加到配置文件中

1、将集群信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-cluster dengm \
--server=https://$KUBECONFIG_SAVED:6443 \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true

在这里插入图片描述

2、查看信息

cat kubeconfig

在这里插入图片描述

五、用户详细信息添加到配置文件中

1、将用户信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-credentials dengm \
--client-certificate=/etc/kubernetes/pki/dengm.crt \
--client-key=/etc/kubernetes/pki/dengm.key \
--embed-certs=true

2、查看信息
在这里插入图片描述

六、将上下文详细信息添加到配置文件中:

1、将上下文信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-context dengm@kubernetes \
--cluster=dengm \
--namespace=default \
--user=dengm

--cluster 集群名
--namespace 名称空间
--user 用户,上面创建的证书cn的用户

2、由于信息过多显示,可使用此命令查看

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig view

在这里插入图片描述

3、这个dengm用户只能在default空间下工作。

七、模拟开发人员dengm登录

1、创建用户

useradd  dengm && echo root |passwd --stdin dengm

2、查看kubernetes主节点有个目录

ll  ~/.kube/

在这里插入图片描述

3、将/root/kubernetes/k8sconfig/kubeconfig复制一份到dengm用户.kube/下

mkdir -p  /home/dengm/.kube/ && cp  -r  /root/kubernetes/k8sconfig/kubeconfig  /home/dengm/.kube/ && mv /home/dengm/.kube/kubeconfig /home/dengm/.kube/config

4、修改复制过去的文件
在这里插入图片描述
文件应该是dengm权限,OK进行修改

chown  -R  dengm:   /home/dengm/.kube/ &&  ll /home/dengm/.kube/

在这里插入图片描述

5、用户登录测试

  • 登录
su - dengm
  • 命令补全
echo "source <(kubectl completion bash)" >> ~/.bashrc
  • 测试访问默认名称空间下的Pod
kubectl  get  pod

在这里插入图片描述

  • 授权访问允许Pod(不建议除非运维管理员)

切换kubernetes-admin@kubernetes

exit && kubectl  config  use-context  kubernetes-admin@kubernetes

生成用户绑定用户集群权限yaml文件

kubectl  create  clusterrolebinding  dengm --clusterrole=cluster-admin --user=dengm --dry-run=client -o yaml  > dengm.yaml

在这里插入图片描述
生成dengm权限的集群绑定,并且切换到dengm用户

kubectl  apply -f dengm.yaml && su  - dengm

再次访问:

 kubectl  config  use-context  dengm@kubernetes
k && kubectl  get  pod  -A

在这里插入图片描述

还是那片西瓜吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes Dashboard:Kubernetes 集群的通用 Web UI-开源
06-22
要从本地工作站访问 Dashboard,您必须创建一个到 Kubernetes 集群的安全通道。 Kubeconfig 身份验证方法不支持外部身份提供者或基于证书的身份验证。 Metrics-Server 必须在集群中运行才能使用指标和图表。 在继续...
k8s(二)管理命令速查
vpx_srio的博客
05-08 607
k8s管理命令速查
k8s集群外访问集群内部服务的几种方式
椰汁菠萝
06-03 6726
前言 目前k8s+docker算是运维必修了,docker能让我们的环境一键迁移,k8s能自动编排还能保证服务高可用,两者结合自然是无敌了,当然任何技术的使用,都需要根据具体环境来定,就像你要杀鸡,却非要选牛刀,牛刀是很锋利,但还不够你折腾的 本文重点介绍k8s集群外如何访问集群内的服务 一、hostPort或hostNetwork hostPort和host...
详解k8s集群内外的访问方式
最新发布
tigerhhzz的博客
03-31 2176
Ingress、NodePort和LoadBalancer都是Kubernetes中用于将Service公开到外部的方法,但它们之间有一些区别和适用场景。Ingress:如果需要在同一IP地址和端口上公开多个服务,并根据请求路径或主机名进行路由,则可以使用Ingress。Ingress是Kubernetes中的一个抽象层,它可以将多个Service公开到同一个IP地址和端口上,并根据请求路径或主机名进行路由,非常适合用于Web应用程序。NodePort。
k8s集群证书过期
Dang_Ni的博客
02-21 1293
k8s集群证书过期
Kubernetes专题-11、证书
pizicaiman的专栏
10-23 31
【代码】Kubernetes专题-11、证书
k8s集群如何访问外部资源,外部如何访问k8s资源分享
xiaoqingyu123的博客
05-09 1073
如何访问外部资源 外部如何访问k8s资源
K8S集群架构和证书
yan_0916的博客
02-26 4913
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
K8S 暴露服务给外网访问的三种方式
极客神殿
06-19 3552
负载均衡可以建立在 OSI 网络模型的不同级别上,主要是在 L4(传输层,例如 TCP/UDP)和 L7(应用层,例如 HTTP)上。将会从地址池中获取一个用于外部访问的 IP,当外部流量进入时,ARP 将我们的请求地址广播以获取所属的。如果有多个服务,可以使用 Nginx Ingress 来通过域名和路径区分不同的服务。其实就是守护进程加一个反向代理的应用,守护进程不断监听集群中资源的变化,将。,再把域名解析指向该地址,就实现了集群服务的对外暴露。的一个注解,当后端服务中暴露的 URL 与。
k8s--kubernetes访问控制
Gong_yz的博客
03-14 822
Authentication(认证)认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权)
K8S系列文章之 内外网如何互相访问
Coder_Boy_的博客
08-05 2833
K8S中网络这块主要考虑 如何访问外部网络以及外部如何访问内部网络。
kubernetes-client:一个简单而优雅的客户端,用于访问和控制 Kubernetes 集群(https
08-04
composer require maclof/kubernetes-client支持的 API 功能v1 节点命名空间豆荚副本集复制控制器服务秘密活动配置地图端点持久卷持久卷声明批次/v1 工作批次/v1beta1 定时任务应用程序/v1 部署扩展/v1beta1 守护...
kubernetes-common-services:这些服务有助于简化在Kubernetes中管理应用程序环境的过程。
02-17
Kubernetes中运行应用程序时,经常将各种开源应用程序添加到集群中以帮助您自动为HTTPS端点获取Let's Encrypt证书并自动更新它们,将入口上的DNS条目自动同步到DNS提供商,进行监控并提醒您的群集以及更多项目。...
openshift-acme:用于OpenShift和Kubernetes集群的ACME控制器。 (支持例如让我们加密)
02-03
openshift-acme openshift-acme是用于OpenShift和Kubernetes集群的ACME控制器。 它将使用ACME v2协议自动设置证书,并管理其生命周期,包括自动续订。 该控制器是独立于提供程序的,但是首先我们建议您使用Let's ...
kubernetes-keyvault-flexvol:通过Flex Volume将Azure密钥库与Kubernetes集成
05-25
密钥库FlexVolume [不建议使用] 警告 :warning: 此解决方案已被弃用。 继续将其用于kubernetes 1.15版。 对于1.16+,请使用不再支持... 请遵循AKS Engine 附加文档来创建一个新的Kubernetes集群,其中已部署了Key Vault
k8s集群证书有效期修改
xhredeem的博客
01-16 2957
kubeadm 部署k8s集群证书有效期修改
企业入门实战--k8s之kubernetes访问控制
鱼子酱
08-05 175
企业入门实战--k8s之kubernetes访问控制k8s访问控制API访问、认证与授权RBAC–基于角色访问控制授权 k8s访问控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accoun
k8s系列(四:概念)k8s的三种网络、三种外部访问方式、三种命令类型、
xopqaaa的博客
01-15 6278
kubectl的命令可分为三类: 陈述式命令(Imperative Commands) 陈述式对象配置(Imperative Object Configuration) 声明式对象配置(Declarative Object Configuration) 创建yaml文件 通过陈述式文件进行创建 通过声明式配置文件创建 注意:apply修改配置文件之后可...
如何设置Kubernetes集群中的APIserver
05-17
Kubernetes集群中,API Server是控制平面中最重要的组件之一,它是所有组件的入口点,用于管理整个集群。API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群中的资源。因此,正确地配置API Server对于集群的稳定性和安全性至关重要。 下面是设置Kubernetes集群中API Server的一些步骤: 1. 选择API Server的认证方式Kubernetes支持多种认证方式,包括基于Token的认证、基于证书的认证等。在设置API Server之前,需要确定所使用的认证方式,并进行相应的配置。 2. 配置API Server的访问控制:使用Kubernetes中的RBAC(Role-Based Access Control)机制来配置API Server的访问控制。可以通过RBAC配置不同用户或组的权限,确保只有授权的用户才能访问API Server。 3. 配置API Server的TLS证书:为API Server配置TLS证书,确保通信过程中的安全性。 4. 配置API Server的访问地址和端口:API Server的默认监听地址和端口为127.0.0.1:6443,如果需要改变API Server的监听地址和端口,可以通过命令行参数或配置文件进行配置。 5. 配置API Server的HA模式:当需要保证API Server的高可用性时,可以使用Kubernetes提供的HA模式,通过使用多个API Server来实现。 以上是设置Kubernetes集群中API Server的一些基本步骤,具体配置可以根据实际情况进行调整。建议使用Kubernetes提供的工具和文档进行配置,以确保正确性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值