远程连接K8S集群

最新推荐文章于 2024-08-22 17:15:29 发布
最新推荐文章于 2024-08-22 17:15:29 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: Kubernetes 文章标签: 连接k8s集群 admin.conf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/123781716
版权

1 背景

我们搭建好K8S集群后,默认都是从master节点上连接到集群,执行命令。但是有时候我们需要在其他机器连接k8s集群,这就需要我们的kubectl命令能够和集群的apiserver通讯,由于是通过https通讯,因此需要生成对应的证书文件。

2 最简方式

由于我们的集群是通过kubeadm部署,因此部署后会自动生成一个用于admin用户连接集群的配置文件——/etc/kubernetes/admin.conf,

[root@master ~]# cat /etc/kubernetes/admin.conf 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: ****
    server: https://192.168.0.110:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: ****
    client-key-data: ****

所以最简单的方式就是将该文件拷贝到对应的机器上,这样就能直接连接到k8s集群,比如我们把这个登录凭证拷贝node1上,

[root@node1 ~]# kubectl get node --kubeconfig=./admin.conf
NAME     STATUS   ROLES                  AGE    VERSION
master   Ready    control-plane,master   256d   v1.21.2
node1    Ready    <none>                 256d   v1.21.2
node2    Ready    <none>                 256d   v1.21.2

可见连接成功,命令正常返回。

3 证书方式

如果我们没有admin.conf文件,或者文件丢失,那我们就可以自己生成证书,然后将生成的证书拷贝到目标机器,一样可以实现远程连接。

3.1 安装cfssl工具

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64 
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

3.2 生成ca配置

证书有效时间为10年

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

3.3 生成admin证书请求配置

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF

3.4 生成admin证书

进入集群证书目录,/etc/kubernetes/pki

[root@master pki]# cfssl gencert -ca=ca.crt -ca-key=ca.key -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
2022/03/27 07:12:43 [INFO] generate received request
2022/03/27 07:12:43 [INFO] received CSR
2022/03/27 07:12:43 [INFO] generating key: rsa-2048
2022/03/27 07:12:44 [INFO] encoded CSR
2022/03/27 07:12:44 [INFO] signed certificate with serial number 479626741822853067875971057191146068697711629773
2022/03/27 07:12:44 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
[root@master pki]# ls admin*
admin.csr  admin-csr.json  admin-key.pem  admin.pem

因为我的集群是kubeadm部署的,因此已经有ca证书对,就不需要重新生成,直接使用就好。

4 配置远端目标机器

将生成的admin证书对,以及集群的ca证书拷贝到目标远端机器,

scp admin-key.pem admin.pem ca.crt node2:/root

然后登录远端机器,开始配置kubeconfig。

4.1 添加集群

将我们的集群添加到目标机器中,并设置使用证书文件授权,这里要注意证书文件的名字和路径,

kubectl config set-cluster kubernetes \
  --server=https://master:6443 \
  --embed-certs=true \
  --certificate-authority=/root/ca.crt

4.2 设置客户端连接集群的认证参数

其中k8sadmin就是我们指定的用户名

kubectl config set-credentials k8sadmin \
  --embed-certs=true \
  --certificate-authority=/root/ca.crt\
  --client-key=/root/admin-key.pem \
  --client-certificate=/root/admin.pem

4.3 设置上下文

将用户和集群关联

kubectl config set-context default \
  --cluster=kubernetes \
  --user=k8sadmin

4.4 切换上下文

将集群切到我们需要连接的集群

kubectl config use-context default

此时,/root/.kube/config就会生成和admin.conf类似的认证文件,我们就能连接到目标集群。

4.5 测试连接

[root@node2 ~]# kubectl get node
NAME     STATUS   ROLES                  AGE    VERSION
master   Ready    control-plane,master   256d   v1.21.2
node1    Ready    <none>                 256d   v1.21.2
node2    Ready    <none>                 256d   v1.21.2

5 最安全的方式

不管是拷贝admin.conf文件还是生成admin证书对都有个问题,权限过大,因为kubeadm和我们创建admin证书时,我们用的是以下配置,

"O": "system:masters",

system:masters是一个例外的,超级用户组,可以绕过鉴权层,比如RBAC,这是比较危险的。

所以,如果我们需要给某个用户集群权限,就需要能够限制他的权限范围。

将签名请求文件中的用户组设置为其他组,比如dev

cat > dev-csr.json <<EOF
{
  "CN": "test",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "dev",
      "OU": "System"
    }
  ]
}
EOF

然后同样生成dev的证书对,并拷贝至目标机器,

[root@master pki]# cfssl gencert -ca=ca.crt -ca-key=ca.key -config=ca-config.json -profile=kubernetes dev-csr.json | cfssljson -bare dev
[root@master pki]# scp dev-key.pem dev.pem node2:/root

cluster我们上面已经设置过,就不需要重复设置,我们只要设置新的连接凭证和上下文就可以了,

[root@node2 ~]# kubectl config set-credentials test \
>   --certificate-authority=/root/ca.crt\
>   --client-key=/root/dev-key.pem \
>   --client-certificate=/root/dev.pem
[root@node2 ~]# kubectl config set-context test \
>   --cluster=kubernetes \
>   --user=test
[root@node2 ~]# kubectl config use-context test

这时候我们尝试连接集群,

[root@node2 ~]# kubectl get node
Error from server (Forbidden): nodes is forbidden: User "test" cannot list resource "nodes" in API group "" at the cluster scope

不出意外,出现意外了,因为我们还没给这个用户授予权限。

这时RBAC就需要登场了。假设我们只允许这个用户访问nginx这个namespace,我们在master节点上授予test用户nginx这个namespace的admin权限。

[root@master ~]# kubectl create rolebinding test-admin-binding --clusterrole=admin --user=test --namespace=nginx

这时我们再测试下,可见,这时test用户在nginx namespace里可以为所欲为,

[root@node2 ~]# kubectl get pod -n nginx
NAME      READY   STATUS    RESTARTS   AGE
centos7   1/1     Running   1          30s
[root@node2 ~]# kubectl delete pod centos7 -n nginx
pod "centos7" deleted

但是在其他namespace就没办法了。

[root@node2 ~]# kubectl get pod -n kube-system
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "kube-system"

参考文档:

  1. https://kubernetes.io/docs/reference/access-authn-authz/rbac/
Blue summer
关注
专栏目录
helm部署应用到k8s集群(helm+k8s)-详细文档
06-21
helm 部署应用到 k8s 集群详细文档 本文档详细介绍了使用 Helm 部署应用到 Kubernetes 集群的过程。Helm 是一个 Kubernetes 的包管理工具,能够方便地将之前打包好的 YAML 文件部署到 Kubernetes 上。 Helm 有三个...
本地连接远程k8s集群
weixin_45422660的博客
05-30 1105
本地远程连接kubernetes集群
kubectl 本地远程链接k8s多个集群,远程管控多集群,查看日志 部署服务(windows版)
ratel的博客
11-15 2663
在windows电脑上通过kubectl远程管控k8s集群,查看日志 部署服务等等。 kubectl 本地远程链接k8s多个集群,远程管控多集群,查看日志 部署服务(windows版)
KubeSphere容器平台本地部署并实现远程管理监控Kubernetes集群
最新发布
m0_64361522的博客
08-22 890
本文主要介绍如何在Linux CentOS搭建KubeSphere并结合Cpolar内网穿透工具,实现远程访问,根据官网的安装方式,在Linux 上以All-in-One模式安装KubeSphere,设备需要提前安装好Docker并运行。KubeSphere是一个基于Kubernetes的开源容器平台,它提供了全栈的IT自动化运维能力,简化了企业的DevOps工作流。KubeSphere采用前后端分离的架构,可以运行在任何Kubernetes、私有云、公有云、VM或物理环境之上。
K8S入门-06-远程管理集群
敦格
02-12 1681
K8S入门-06-远程管理集群
使用kubectl连接远程Kubernetes(k8s)集群
XiaoHH的博客
10-09 4084
在自己本机当中安装kubectl并远程连接Kubernetes(k8s集群。覆盖了Windows、MacOS和Linux操作系统,步骤超详细,在后面还有关于MacOS和Linux命令自动补全
本地远程连接k8s集群
qq_45754184的博客
05-24 606
为了能使本地能连接k8s集群更好的测试数据库自动更新功能,我在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。3、使用指定的kubeconfig文件来操作集群。2、获取集群的kubeconfig文件。1、首先确保本地已经安装好。
ansible自动化安装k8s集群
02-16
标题中的"ansible自动化安装k8s集群"意味着我们将使用Ansible playbook来配置和启动一个k8s集群,这通常包括以下步骤: 1. **环境准备**:确保所有节点满足Kubernetes的系统需求,如Linux发行版、内核版本、网络...
Ansible脚本搭建K8s集群.pptx
12-25
### Ansible脚本搭建K8s集群 #### Ansible简介 Ansible是一种新兴的自动化运维工具,基于Python语言开发而成,旨在简化系统管理和应用程序部署流程。它汇集了其他多种运维工具(例如Puppet、Chef、Func和Fabric)...
ansible一键部署k8s1.16集群-二进制方式部署k8s集群,安装包和详细笔记
05-27
9. **安全与监控**:最后,别忘了对部署的k8s集群进行安全配置,例如设置RBAC权限、启用审计日志和监控解决方案(如Prometheus和Grafana),以确保生产环境的安全和稳定。 以上就是使用Ansible一键部署Kubernetes ...
k8s 集群 安装 nfs yaml文件
05-21
本文将详细介绍如何在k8s集群中安装和配置NFS客户端的yaml文件。 首先,我们需要了解NFS的基本概念。NFS是一种分布式文件系统协议,它允许一个操作系统通过网络访问另一台计算机的文件系统,就像这些文件就在本地...
k8ssh:使用SSH连接到Kubernetes Pod
04-16
k8ssh 使用SSH连接到Kubernetes Pod。 用法 如果我们有一个像这样的吊舱: apiVersion : v1 kind : Pod metadata : name : k8sssh-example spec : containers : - name : ubuntu image : ubuntu command : -...
K8s 应用 - Redis(集群
12-21
在Kubernetes(K8s)环境中部署Redis集群,是云原生应用架构中的常见实践。Redis是一种高性能的键值存储系统,常被用作数据库、缓存和消息中间件。Kubernetes和Docker的结合使得容器化部署Redis变得更加灵活和可扩展。...
生产环境Nacos集群k8s编排文档
04-28
生产环境Nacos集群k8s编排文档,文件名后缀YAML格式,文档中有注释如何修改使用。数据库有远程数据库配置,文档内包含Service,ConfigMap,StatefulSet,Ingress四部分配置,这个里面要修改的部分都用小括号注明了...
k8s】——Kubernetes知识盘点
01-20
Kubernetes(简称k8s)是Google开源的一个容器编排系统,用于自动化容器化的应用部署、扩展和管理。它提供了一个平台,使得开发者可以方便地在分布式环境中运行微服务架构的应用程序。 2. **基本概念** - **Pod**...
kubernetes-ansible:将使用Ansible设置k8s集群
03-13
在IT行业中,Kubernetes(简称k8s)已经成为容器编排领域的主流标准,而Ansible则是一种自动化运维工具,能够简化复杂系统的部署和管理。在这个“kubernetes-ansible”项目中,我们将探讨如何利用Ansible来高效、...
笔记02:K8s集群搭建步骤
白云
12-04 1718
版本统一 Docker 18.09.0 kubeadm-1.14.0-0 kubelet-1.14.0-0 kubectl-1.14.0-0 k8s.gcr.io/kube-apiserver:v1.14.0 k8s.gcr.io/kube-controller-manager:v1.14.0 k8s.gcr.io/kube-scheduler:v1.14.0 k8s.gcr.io/kube-proxy:v1.14.0 k8s.gcr.io/pause:3.1 k8s.gcr.io/etcd:3.3.1
Kubernetes 远程工具连接k8s集群
weixin_30876945的博客
08-26 650
Kubernetes 远程工具连接k8s集群 1、将Master的kubectl文件复制到Node内 scp k8s/kubernetes/server/bin/kubectl root@192.168.1.110:/root/ 2、创建admin证书的json文件、证书为:k8s管理员证书 { "CN": "admin", "hosts": [], ...
远程连接k8s集群(windows)
2202_75808064的博客
03-26 1000
官网下载文档:(可以通过curl命令/ Chocolatey、Scoop 或 winget 安装)如果采用curl方式进行安装,那么需要在环境变量中进行配置,如果是其他步骤则忽略这里我把kubectl放在了C:\Users\Administrator路径下最后一步一定要确认环境变量编辑进去了。
远程连接k8s部署的mysql集群
08-22
远程连接到运行在Kubernetes集群上的MySQL集群,你需要遵循以下步骤: 1. 确保你已经在Kubernetes集群中正确部署了MySQL集群。这涉及到使用适当的Kubernetes资源定义文件(如Deployment、Service等)创建和配置...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值