kubernetes 集群的访问-证书方式

最新推荐文章于 2024-08-08 17:29:51 发布
最新推荐文章于 2024-08-08 17:29:51 发布
阅读量577 收藏
点赞数
分类专栏: kubernetes 初级篇 文章标签: 运维 数据库 ruby
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37377136/article/details/108859278
版权

集群的访问官方文档
使用 kubeconfig 文件组织集群访问

简介:
在将集群、用户和上下文定义在一个或多个配置文件中之后,用户可以使用 kubectl config use-context命令快速地在集群之间进行切换

用于配置集群访问的文件有时被称为 kubeconfig 文件。
这是一种引用配置文件的通用方式,
并不意味着存在一个名为 kubeconfig 的文件。

准备开始前提:
1、Kubernets集群
2、kubectl 的版本应该与集群的 API 服务器使用同一次版本号(kubectl version --client)命令可查看信息
3、准备好证书

删除:

  • 删除用户,可以运行
 kubectl --kubeconfig=config-demo config unset users.<name>
  • 删除集群,可以运行
 kubectl --kubeconfig=config-demo config unset clusters.<name>
  • 删除上下文,可以运行
kubectl --kubeconfig=config-demo config unset contexts.<name>

一、创建证书

将证书统一存放在/etc/kubernetes/pki目录下

cd /etc/kubernetes/pki

(umask 077; openssl genrsa -out dengm.key 2048)
openssl req -new -key dengm.key -out dengm.csr -subj "/CN=dengm"    
openssl x509 -req -in dengm.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out dengm.crt -days 3650
openssl x509 -in dengm.crt -text -noout

#注解CN 填写集群访问的用户名

二、查看命令帮助

kubectl  config -h

在这里插入图片描述
三、创建存放访问文件

mkdir -p /root/kubernetes/k8sconfig

设置 KUBECONFIG 环境变量

export KUBECONFIG_SAVED=192.168.11.128

192.168.11.128 k8smaster主机的ip地址

接下来我们创建集群、用户名和上下文到一个文件中

四、将群集详细信息添加到配置文件中

1、将集群信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-cluster dengm \
--server=https://$KUBECONFIG_SAVED:6443 \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true

在这里插入图片描述

2、查看信息

cat kubeconfig

在这里插入图片描述

五、用户详细信息添加到配置文件中

1、将用户信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-credentials dengm \
--client-certificate=/etc/kubernetes/pki/dengm.crt \
--client-key=/etc/kubernetes/pki/dengm.key \
--embed-certs=true

2、查看信息
在这里插入图片描述

六、将上下文详细信息添加到配置文件中:

1、将上下文信息创建到/root/kubernetes/k8sconfig目录下

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig \
set-context dengm@kubernetes \
--cluster=dengm \
--namespace=default \
--user=dengm

--cluster 集群名
--namespace 名称空间
--user 用户,上面创建的证书cn的用户

2、由于信息过多显示,可使用此命令查看

kubectl config --kubeconfig=/root/kubernetes/k8sconfig/kubeconfig view

在这里插入图片描述

3、这个dengm用户只能在default空间下工作。

七、模拟开发人员dengm登录

1、创建用户

useradd  dengm && echo root |passwd --stdin dengm

2、查看kubernetes主节点有个目录

ll  ~/.kube/

在这里插入图片描述

3、将/root/kubernetes/k8sconfig/kubeconfig复制一份到dengm用户.kube/下

mkdir -p  /home/dengm/.kube/ && cp  -r  /root/kubernetes/k8sconfig/kubeconfig  /home/dengm/.kube/ && mv /home/dengm/.kube/kubeconfig /home/dengm/.kube/config

4、修改复制过去的文件
在这里插入图片描述
文件应该是dengm权限,OK进行修改

chown  -R  dengm:   /home/dengm/.kube/ &&  ll /home/dengm/.kube/

在这里插入图片描述

5、用户登录测试

  • 登录
su - dengm
  • 命令补全
echo "source <(kubectl completion bash)" >> ~/.bashrc
  • 测试访问默认名称空间下的Pod
kubectl  get  pod

在这里插入图片描述

  • 授权访问允许Pod(不建议除非运维管理员)

切换kubernetes-admin@kubernetes

exit && kubectl  config  use-context  kubernetes-admin@kubernetes

生成用户绑定用户集群权限yaml文件

kubectl  create  clusterrolebinding  dengm --clusterrole=cluster-admin --user=dengm --dry-run=client -o yaml  > dengm.yaml

在这里插入图片描述
生成dengm权限的集群绑定,并且切换到dengm用户

kubectl  apply -f dengm.yaml && su  - dengm

再次访问:

 kubectl  config  use-context  dengm@kubernetes
k && kubectl  get  pod  -A

在这里插入图片描述

还是那片西瓜吗
关注
专栏目录
centos7 kubernetes(k8s)1.12集群部署与使用(二):证书制作和etcd集群部署
夏冬丶王阳旭
01-08 1486
概述     上一篇已经为大家简单介绍了kubernetes集群的架构和做了基本的系统初始化,这一篇我们继续,这篇主要进行证书制作和etcd集群的部署。kubernetes集群的安全严,整个集群的交互都需要很多的证书相互认证,这里通过手动制作证书来完成。etcd作为kubernetes集群的数据存储方式,是基础依赖,需要先部署。 ps: 为了更好的让大家理解集群的整个结构,整个系列部署都是采用...
使用ssl_exporter监控K8S集群证书
qq_40907977的博客
01-27 679
使用kubeadm搭建的集群默认证书有效期是1年,续费证书其实是一件很快的事情。但是就怕出事了才发现,毕竟作为专业搬砖工程师,每天都很忙的。 鉴于此,监控集群证书有效期是一件不得不做的事情。Prometheus作为云原生领域的王者,如果能用它来监控证书有效期并能及时告警,那就再好不过了。 ssl_exporter就是来做这个事情的。ssh_exporter是一个Prometheus Exporter能提供多种针对 SSL 的检测手段,包括:https 证书生效/失效时间、文件证书生效/失效时间,OCSP 等
Kubernetes】k8s集群资源调度
最新发布
weixin_68840588的博客
08-08 1013
k8s集群资源调度
K8S集群证书
core815的专栏
11-03 455
地址:https://github.com/yuyicai/update-kube-cert 说明:K8s集群证书过期处理,更新kubeadm生成的证书有效期为10年。针对旧版集群(小于v1.15),当然大于等于v1.15也是可以用这个脚本更新,新版可直接kubeadm alpha certs renew <cert_name>更新 (deal with K8s cluster certificate expired) ...
客户端证书访问 Kubernetes api
ahwxl的专栏
10-04 328
jenkins 构建、部署服务到kubernate集群shell脚本
k8s集群部署之签发证书
张存的博客
09-01 890
准备签发证书环境 10.4.7.200上执行 安装CFSSL wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-ce
kubernetes-server-linux-amd64.tar.gz
08-28
这个压缩包包含了在AMD64平台上运行Kubernetes集群所需的所有核心组件。 首先,了解Kubernetes的基本构成至关重要。Kubernetes的核心组件包括: 1. **kube-apiserver**:作为Kubernetes集群的入口点,它提供了REST...
kubernetes-client-linux-amd64.tar.gz
11-22
这个压缩包包含了一系列用于与Kubernetes集群交互的工具,使管理员和开发者能够在Linux环境中方便地管理容器化应用和服务。 Kubernetes是一个开源的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。它...
3、Kubernetes 集群安全 - 鉴权1
08-04
通过 RBAC,Kubernetes 集群可以实现灵活的权限控制和访问控制,可以满足不同场景下的安全需求。同时,RBAC 也提供了许多优势,例如可以对集群中的资源和非资源进行完整的覆盖,可以在运行时进行调整,无需重启 API...
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes集群安全机制的核心,就是确保APIServer的安全,这是集群中各个组件间通信的桥梁,同时也是外部进行集群控制的接入点。 Kubernetes集群安全机制主要包括三个步骤:认证(Authentication)、鉴权...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
k8s集群访问集群内部服务的几种方式
椰汁菠萝
06-03 6859
前言 目前k8s+docker算是运维必修了,docker能让我们的环境一键迁移,k8s能自动编排还能保证服务高可用,两者结合自然是无敌了,当然任何技术的使用,都需要根据具体环境来定,就像你要杀鸡,却非要选牛刀,牛刀是很锋利,但还不够你折腾的 本文重点介绍k8s集群外如何访问集群内的服务 一、hostPort或hostNetwork hostPort和host...
Kubernetes 学习笔记 --- 访问集群
All_Dream_and_you的博客
06-24 290
我这里分享的是通过编程的方式访问k8s集群,之所以分享这种方式,是因为我们可能有需要对k8s进行扩展,或者二次开发的需求,而我在学习时,苦于没有简单明了的文档来帮助我学习,以至于走了很多弯路,所以我把我的学习历程记录了下来,分享给大家,有什么不对的地方,还请大家指正。......
K8S集群架构和证书
yan_0916的博客
02-26 4963
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
k8s--100年证书?验证
weixin_41410744的博客
09-08 1413
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
k8s集群证书过期
Dang_Ni的博客
02-21 1348
k8s集群证书过期
k8s集群证书有效期修改
xhredeem的博客
01-16 3064
kubeadm 部署k8s集群证书有效期修改
k8s实践(8)--ssl安全认证配置
黄规速博客:学如逆水行舟,不进则退
06-16 3218
一.基于CA签名的双向数字证书认证方式 在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的...
k8s集群访问集群内pod服务的几种方式
tuonian的博客
05-25 6978
一、hostPort或hostNetwork 此种方式直接将pod内部端口映射到部署pod的主机上,外部访问通过主机IP+端口直接访问pod; hostPort vim nginx-test.yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-test namespace: default spec: replicas: 1 selector: matchLabels: app.name
高校智慧校园建设:Kubernetes集群访问与管理
最佳实践部分提供了在CentOS上部署Kubernetes1.6集群的具体步骤,包括创建TLS证书和秘钥以确保安全通信,生成kubeconfig文件以配置集群访问,建立高可用的etcd集群以存储Kubernetes元数据,以及安装kubectl工具以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值