kubernetes https外部用户证书访问

最新推荐文章于 2024-06-12 08:30:00 发布
最新推荐文章于 2024-06-12 08:30:00 发布
阅读量6.3k 收藏 1
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes TLS 证书 grafana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011181610/article/details/81981713
版权

问题:在弄k8s服务的时候一般和k8s集成的服务 如jenkins ansible等都支持serviceaccout认证, serviceaccout认证相对好弄一些(有时间我会写一下 serviceaccout的获取过程),今天碰到grafana要连接k8s集群,但是不支持serviceaccount,只能用证书了,本来我对https就有抵触心理,没办法只能硬着头皮去搞,翻看了官网的文档终于解决了,以下分享以下步骤避免其他人落坑

 

一:创建用户并绑定权限,创建grafana用户并绑定集群管理员权限,为了方便,对于权限要求严的可以按照自己的权限管理来

 

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: grafana-cluster-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: User
  name: grafana
  apiGroup: rbac.authorization.k8s.io

二、创建grafana的客户端证书

    1、copy kubernetes master节点的根证书以及私钥到任意一台linux服务器

             scp ${master_ip}/etc/kubernetes/pki/ca*  user@youmachine:/path

         注:一定要用 k8s的根证书,官网给的例子是自签的,经验证不行

    2、生成客户端私钥文件

        openssl genrsa -out client.key 2048

        生成 client.key 私钥文件

   3、创建证书签名请求配置文件 csr.conf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
CN = grafana

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local

   以上基于官网有所改动,官网说k8s只读取CN(common name)获取用户名,只需要替换 grafana用户名即可

  4、创建证书签名请求

    openssl req -new -key client.key -out client.csr -config csr.conf

    生成client.csr 文件

    5、用kubernetes的根证书以及私钥签发客户端证书(注意这里的cat.crt,ca.key 是k8s的根证书)

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 10000 -extensions v3_ext -extfile csr.conf

     生成client.crt 证书

三 验证:

curl -v https://masterip:6443/  --cert ./client.crt --key ./client.key  --cacert ca.crt
或者 curl -v https://masterip:6443/  --cert ./client.crt --key ./client.key  --insecure

这里的client.crt 为客户端证书 client.key 为客户端私钥 ca.crt 为根证书

 

 

 

 

注:本人用的是阿里云提供的k8s服务基于rbac的

k8s文档:英文好的可以直接看

客户端证书生成(有点坑):https://kubernetes.io/docs/concepts/cluster-administration/certificates/

用户认证策略:https://kubernetes.io/docs/reference/access-authn-authz/authentication/#user-impersonation

rbac配置:https://kubernetes.io/docs/reference/access-authn-authz/rbac/

 

 

张-玉-明
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kubernetes-scenario:Kubernetes https的交互式脚本
05-13
Kubernetes领域,HTTPS协议扮演着至关重要的角色,因为它提供了安全的数据传输,确保了容器编排平台中的服务间通信以及与外部世界的交互是加密且安全的。本篇将深入探讨Kubernetes环境中使用HTTPS的场景、原理及...
Kubernetes指南(Kubernetes Handbook)
03-19
Kubernetes 可用于资源控制、高可用性、端口映射、用户管理、GPU 支持、安全审计、备份恢复、证书轮换、大规模集群管理、大数据与机器学习应用、Serverless 架构等场景。对于常见问题,提供了详细的排错指南,涵盖从...
调试必备,详解 HTTP 客户端调用 K8S API,建议收藏!
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-13 2067
使用 CLI(如 curl)或 GUI(如 postman )HTTP 客户端调用 Kubernetes API 有很多原因。例如,您可能需要对 Kubernetes 对象进行比 kubectl 提供的更细粒度的控制,或者只是想在尝试从代码访问 API 之前进行探索。本文不仅仅是一个方便的命令列表,而是一个深思熟虑的演练,揭示了您在从命令行调用 Kubernetes API 时可能会偶然发现的一些问题。它涵盖以下内容:如果你没有 Kubernetes 集群可以做实验,这里是你可以使用 arkade 快速创建
Kubernetes身份认证和授权操作全攻略:K8s 访问控制入门
Rancher
08-14 770
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证和授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
k8s学习--使用argo-rollouts实现金丝雀发布
lwxvgdv的博客
06-12 1347
Argo-Rollout是一个Kubernetes Controller和对应一系列的CRD(自定义资源类型),提供更强大的Deployment能力。包括灰度发布、蓝绿部署、更新测试(experimentation)、渐进式交付(progressive delivery)等特性。
Grafana配置https
还不是太晚的博客
06-28 5918
Yum安装Grafana 配置grafana-yum源安装grafana最新版本-8.0.3 [root@localhost ~]# cd /etc/yum.repos.d/ [root@localhost yum.repos.d]# vim grafana.repo [grafana] name=grafana baseurl=https://mirrors.tuna.tsinghua.edu.cn/grafana/yum/rpm repo_gpgcheck=0 enabled=1 gpgcheck=0
Kube-prometheus部署Ingress为Prometheus-Grafana开启https
TT-Learning
08-13 1789
文章目录1.生成私钥2.使用 prometheusTLS.key 生成自签证书3.Kubernetes操作4.ingress.yaml 1.生成私钥 mkdir ~/prometheus-ingress 生成私钥 prometheusTLS.key, 密钥位数是 2048 openssl genrsa -out prometheusTLS.key 2048 2.使用 prometheusTLS.key 生成自签证书 openssl req -new -x509 -key prometheusTL
k8s证书更新
kali_yao的博客
02-21 6691
1.故障现象 k8s安装一年后证书显示过期。证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
mk Kubernetes从入门到进阶
最新发布
07-13
通过Service,可以在集群内部或者外部访问这些Pod提供的服务,而无需关心它们的具体位置。 ##### 3. Deployment Deployment是一种用于声明式更新应用程序的资源对象。它管理着一个ReplicaSet,并通过这个ReplicaSet...
部署kubernetes所需的软件包
11-04
Kubernetes使用X.509证书进行安全通信,包括节点之间的通信、API服务器的访问以及用户身份验证。你需要生成并管理这些证书和密钥。 8. **Kubeadm**: 这是一个工具,简化了Kubernetes集群的初始化和节点加入过程...
Kubernetes ingress yaml文件包
09-21
Kubernetes集群中,Ingress是一种管理外部访问到Pod服务的机制,主要负责提供网络路由规则,使得外部请求可以通过特定的URL和端口映射到内部的服务上。本压缩包文件“Kubernetes ingress yaml文件包”很可能是包含...
Grafana 开启Https
yuansheng730的博客
02-13 822
grafana 开启HTTPS
grafana配置MySQL持久化存储并配置HTTPS
阿泽St
09-29 2406
grafana配置MySQL持久化存储并配置HTTPS
k8s学习第19天--证书认证
qq_34893654的博客
05-04 812
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes中常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
AWS IAM Authenticator and IRSA
wangzan18的博客
12-27 535
一、AWS IAM Authenticator 参考文档:https://github.com/kubernetes-sigs/aws-iam-authenticatorhttps://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 二、IRSA(IAM Ro...
通过curl访问k8s集群获取证书或token的方式
码农崛起
01-22 2193
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。• 资源操作方法:get,list,create,update,patch,watch,delete。创建k8s的用户用户分为普通用户和serviceAccount用户。serviceAccount:内部集群资源直接访问用户
curl 访问k8s https 证书和token 几种方式
码农崛起
12-16 9488
[root@localhost ~]# curl https://172.16.10.87:6443/api/v1/namespaces curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bund...
kubernetes Service 暴露服务的几种方式
热门推荐
纵横四海的博客
08-08 1万+
kubernetes service暴露服务到目前为止,一共有以下几种方法 ClusterIP 方式 kubernetes 默认就是这种方式,是集群内部访问的方式 spec: clusterIP: 10.0.0.1 ports: - name: http NodePort 方式 NodePort方式主要通过节点IP加端口的形式暴露端口 访问方式:protocol...
【博客385】Kubernetes访问控制(一)
qq_43684922的博客
10-07 561
内容:记录kubernetes的认证鉴权机制 k8s的安全问题: 1、保证容器与其所在宿主机的隔离; 2、限制容器给基础设施及其他容器带来消极影响的能力; 3、最小权限原则,合理限制所有组件权限,确保组件只执行它被授权的行为,通过限制单个组件 的能力来限制他所能达到的权限范围; 4、明确组件间边界的划分; 5、划分普通用户和管理员角色; 6、在必要的时候允许将管理员权限赋给普通用户; 7、允许拥有Secret数据(Keys、Certs、Passwords)的应用在集群中运行; k8s的认证过
Kubernetes Dashboard部署:证书过期与恢复访问指南
本文主要介绍如何部署Kubernetes Dashboard以及解决证书过期的问题,同时提供了一些快照后恢复访问的线索。" Kubernetes Dashboard是Kubernetes生态系统中的一个重要组件,它提供了一个图形用户界面(GUI),使得...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值