K8s-浏览器访问kube-apiserver安全端口.A

最新推荐文章于 2024-09-11 17:56:20 发布
最新推荐文章于 2024-09-11 17:56:20 发布
阅读量5.6k 收藏 2
点赞数 2

内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/A.%E6%B5%8F%E8%A7%88%E5%99%A8%E8%AE%BF%E9%97%AEkube-apiserver%E5%AE%89%E5%85%A8%E7%AB%AF%E5%8F%A3.md

浏览器访问 kube-apiserver 的安全端口 6443 时,提示证书不被信任: ssl-failed

这是因为 kube-apiserver 的 server 证书是我们创建的根证书 ca.pem 签名的,需要将根证书 ca.pem 导入操作系统,并设置永久信任。对于 Mac,操作如下:

对于win使用以下命令导入ca.perm

keytool -import -v -trustcacerts -alias appmanagement -file "PATH...\\ca.pem" -storepass password -keystore cacerts

keychain 

再次访问 https://172.27.129.105:6443/,已信任,但提示 401,未授权的访问:

ssl-success

我们需要给浏览器生成一个 client 证书,访问 apiserver 的 6443 https 端口时使用。

这里使用部署 kubectl 命令行工具时创建的 admin 证书、私钥和上面的 ca 证书,创建一个浏览器可以使用 PKCS#12/PFX 格式的证书:

[k8s@k8s-master-0001 ~]$ openssl pkcs12 -export -out admin.pfx -inkey admin-key.pem -in admin.pem -certfile ca.pem

将创建的 admin.pfx 导入到系统的证书中。对于 Mac,操作如下:

admin-cert

重启浏览器,再次访问 https://172.27.129.105:6443/,提示选择一个浏览器证书,这里选中上面导入的 admin.pfx:

select-cert

 

这一次,被授权访问 kube-apiserver 的安全端口:

 chrome-authored

客户端选择证书的原理

  1. 证书选择是在客户端和服务端 SSL/TLS 握手协商阶段商定的;
  2. 服务端如果要求客户端提供证书,则在握手时会向客户端发送一个它接受的 CA 列表;
  3. 客户端查找它的证书列表(一般是操作系统的证书,对于 Mac 为 keychain),看有没有被 CA 签名的证书,如果有,则将它们提供给用户选择(证书的私钥);
  4. 用户选择一个证书私钥,然后客户端将使用它和服务端通信;

参考

 

 

LanVv
关注
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
12-12 3万+
🔴 K8s(二):集群部署----->超详细
Kubectl 命令(命令式 与 声明式)与 K8S Ports 访问端口
段小宝的博客
08-17 4557
Kubernetes 中文手册 Kubernetes kubectl 命令表:http://docs.kubernetes.org.cn/683.html 一、陈述式管理方法(kubectl 命令行管理k8s资源) 1.kubernetes 集群管理集群资源的唯一入口是通过相应的方法调用 apiserver 的接口 2.kubectl 是官方的CLI命令行工具,用于与 apiserver进行通信,将用户在命令行输入的命令,组织并转化为 apiserver 能识别的信息,进而实现管理k8s各种资源的一种有效
kubernetes 核心组件之 APIServer
看,未来的博客
06-02 1852
APIServer 的重要性不言而喻。kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资源的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);提供准入控制的功能;拥有完备的集群安全机制.如图所示,Api
k8sapi server地址
最新发布
m0_45406092的博客
09-11 848
在上面的输出中,https://172.20.0.1:6443 就是 API Sever 的地址和端口(通常是 6443)。
K8S端口详情
weixin_51134188的博客
04-01 7614
https://docs.rancher.cn/docs/rancher2/installation/requirements/ports/_index/
微服务系列之二:kubernetes API使用(集群外部调用)
LY猿的博客
04-23 5700
上篇文章主要讲述如何在centos7上利用kubeadm搭建一个最新的kubernetes集群,也记录了一些踩过的坑。在kubernetes的master节点上,我们可以利用kubectl与集群进行交互,比如对pod,service或者deployment进行增删改查等等。但是很多时候,我们可能需要从集群外的服务器上对集群进行一些操作,这种需求该如何实现呢?通过调用kubernetes本身提供的H...
K8sApiServer 组件风险
Innocence_0的博客
08-10 770
k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTPRest接口,是整个系统的数据总线和数据中心,充当了集群中不可或缺的一个角色,因此apiserver组件的安全以及基线检查工作对于集群来说尤为重要,在集群安全的角度对apiserver组件安全问题和风险也应该保持持续的关注。aceAllString`函数里的内容即可。的参数在最新cdk已经被注释了,这个参数在K8s 1.24会直接弃用。
K8S-Demo集群实践16:部署Kube-Prometheus
jasonhe2018的博客
01-28 546
K8S-Demo集群实践:部署Kube-Prometheus 先用起来,通过操作实践认识k8s,积累多了自然就理解了 把理解的知识分享出来,自造福田,自得福缘 追求简单,容易使人理解,知识的上下文也是知识的一部分,例如版本,时间等 欢迎留言交流,也可以提出问题,一般在周末回复和完善文档 Jason@vip.qq.com 2021-1-22 ...
k8s---Metrics-Server与Dashboard
qq_45737059的博客
11-03 369
Metrics-Server Metrics-Server是集群核心监控数据的聚合器,用来替换之前的heapster。容器相关的 Metrics 主要来自于 kubelet 内置的 cAdvisor 服务,有了Metrics-Server之后,用户就可以通过标准的 Kubernetes API访问到这些监控数据。 Metrics Server 并不是 kube-apiserver 的一部分,而是通过 Aggregator 这种插件机制,在独立部署的情况下同 kube-apiserver 一起统一对外
k8s--server学习
肆伍玖的博客
02-08 1372
大多数资料由老师提供。 目录 server概念 为什么要有service? service概述 service工作原理 service的四种实现类型 实验步骤 创建service:type类型为ClusterIP 创建service: type类型是NodePort server概念 为什么要有service? 在 kubernetes 中,Pod 是有生命周期的,如果 Pod 重启它的 IP 很有可能会发生变化。如果我们的服务都是将 Pod 的 IP 地址写死...
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-08 1万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
k8s如何开放8080端口,进而访问apiserver
Thomson_tian的博客
08-10 4398
step1:进入cd /etc/kubernetes/manifests/ step2: 修改api-kube.conf –insecure-port=8080 添加 –insecure-bind-address=0.0.0.0 step3: systemctl daemon-reload systemctl restart kubelet
K8S ApiServer:各个pod是如何访问kube-apiserver的?
学亮编程手记
11-05 402
这样一来,其他pod访问kube-api-server的整个流程就是:pod创建后嵌入了环境变量,pod获取到了kubernetes这个服务的ip和443端口,请求到kubernetes这个服务其实就是转发到了master节点上的6443端口kube-api-server这个pod里面。这个服务的ip地址是clusterip地址池里面的第一个地址,同时这个服务的yaml定义里面并没有指定标签选择器,在命名空间的kube-system命名空间里,有一个名称为kube-api-master的pod,
k8s api 接口 401
qq_36270681的博客
03-04 5588
想直接调用https的,没有token就会 [root@k8s-master1 ~]# curl https://10.1.234.100:6443/api/v1/namespaces/default/pods --insecure { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "pods is forbidden: User \"sy.
K8S--解决访问Harbor私有仓库无权限的问题(401 Unauthorized)
IT利刃出鞘的博客
01-18 2989
本文解决K8S访问Harbor私有仓库无权限的问题:401 Unauthorized。
Kubernetes_APIServer_APIServer简介
weixin_37085241的博客
07-14 441
文章目录一、前言二、APIServer概要三、APIServer中的接口3.1 kubectl与APIServer之间是REST调用3.2 查看yaml文件中的apiVersion3.3 APIServer 中的 Restful 风格接口3.4 APIServer中的 API 路径3.5 kube-apiserver 的...
k8s各组件端口
风向决定发型丶的博客
05-24 3321
10252:kube-controller-manager和kube-apiserver之间的通信端口,用于接收kube-apiserver发送的请求,包括同步cluster state、管理Pod副本数、节点状态等。10251:kube-scheduler和kube-scheduler组件之间的通信端口,用于接收来自kube-apiserver的调度请求,并将调度结果返回给kube-apiserver。10255:kubelet的只读端口,用于提供节点的健康状况以及容器运行时信息的监控数据。
一文读懂k8s的外网访问方式,Ingress/NodePort/LoadBanlancer
mukewangguanfang的博客
04-10 3040
k8s中创建的微服务,大部分都是在集群内部互相调用,这时候,使用DNS就可以很方面访问。 比如:服务名是 my-service,端口号是8080,命名空间是yifan,那么就可以通过域名+端口 “my-service.yifan.svc.cluster.local:8080” 在集群内访问。 当然,也可以直接用服务的ClusterIP+服务的端口号,只是这么使用的较少。 DNS解析到的IP也就是这个服务的ClusterIP,只是咱们不需要记住ClusterIP,记住服务名对应的域名更加容易。
k8s-API server原理分析
hahachenchen789的博客
06-09 1万+
我们都知道, k8sAPI server核心功能是提供了k8s各类资源对象(Pod,RC,service)的增,删,改,查及HTTP REST接口。 server是通过一个名为kube-apiserver的进程提供服务。该进程运行在master节点上,默认情况下,在本机8080端口提供REST服务。 通常我们可以通过命令行工具kubectl来与API server交互。它们之间的接口是RES...
kube-apiserver:v1.23.8文件
03-30
抱歉,我是AI语言模型,我...docker pull k8s.gcr.io/kube-apiserver:v1.23.8 ``` 或者从Kubernetes官方仓库下载: ``` kubeadm config images pull --image-repository=k8s.gcr.io --kubernetes-version=v1.23.8 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值