Kubernetes apiserver 认证 —— X509证书

已于 2022-06-02 00:43:59 修改
阅读量435 收藏
点赞数
分类专栏: 云原生 Kubernetes 文章标签: kubernetes 云原生 容器
于 2022-06-02 00:39:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justyuze/article/details/125092808
版权

版本:kube-apiserver:v1.22.9
背景:为用户 myuser 签发认证证书

生成证书

1. 生成RSA私钥

openssl genrsa -out myuser.key 2048

2. 创建证书请求文件(CSR)

openssl req -new -key myuser.key -out myuser.csr

参数说明:

-new 创建新的证书请求文件。
-key file 指定创建证书请求的私钥文件。
-out file 指定输出文件。
CSR,全称为:Certificate Signing Request,证书请求文件的缩写。

3. Base64 CSR

cat myuser.csr | base64 | tr -d "\n"

4. 创建 Kubernetes csr

  1. 配置文件 myuser-csr.yaml
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
 name: myuser
spec:
 request: Base64 csr
 signerName: kubernetes.io/kube-apiserver-client
 expirationSeconds: 86400  # one day
 usages:
 - client auth
  1. 将这个csr交给Kubernetes
kubectl apply -f myuser-csr.yaml
certificatesigningrequest.certificates.k8s.io/myuser created

查看下csr对象, 目前是Pending状态

kubectl get csr
NAME     AGE   SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
myuser   11s   kubernetes.io/kube-apiserver-client   kubernetes-admin   24h                 Pending
  1. Approve Kubernetes csr
kubectl certificate approve myuser
certificatesigningrequest.certificates.k8s.io/myuser approved

approve 后再次查看csr状态为Approved,Issued

NAME     AGE    SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
myuser   100s   kubernetes.io/kube-apiserver-client   kubernetes-admin   24h                 Approved,Issued

5. 提取生成好的证书到 myuser.crt

kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

配置证书

kubectl config set-credentials myuser --client-key=myuser.key --client-certificate=myuser.crt --embed-certs=true
User "myuser" set.

配置完成后配置文件会多出一个user。

cat /etc/kubernetes/admin.conf
或者
cat ~/.kube/config

users
- name: myuser
  user:
    client-certificate-data: myuser.crt
    client-key-data: myuser.mey

结果验证

kubectl get pod -A --user=myuser
Error from server (Forbidden): pods is forbidden: User "myuser" cannot list resource "pods" in API group "" at the cluster scope

kubectl get pod -A --user=myuser2
error: auth info "myuser2" does not exist

myuser 认证通过,myuser2认证失败,验证通过。

i余数
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何访问Kubernetes集群?【Kubernetes集群X509认证方式】
weixin_57941987的博客
02-14 1056
Kubenetes集群X509证书认证原理;如何为新用户创建kubeconfig文件。
巧用 Prometheus 监控 Kubernetes 集群所有组件的证书
weixin_41020960的博客
07-19 804
KubeSphere 虽然提供了运维友好的向导式操作界面,简化了 Kubernetes 的运维操作,但它还是建立在底层 Kubernetes 之上的,Kubernetes 默认的证书有效期都是一年,即使使用KubeKey[1]这样的集群安装利器也不能改变这个结果。如果不想办法对 Kubernetes 各个组件的证书有效期进行监控,说不定哪天就会掉进坑里。 有部分读者可能听说过ssl-exporter[2]这个项目,它能提供多种针对 SSL 的检测手段,包括:HTTPS 证书、文件证书、Kube...
强化Kubernetes安全:kubelet-csr-approver控制器
最新发布
gitblog_00022的博客
06-13 382
强化Kubernetes安全:kubelet-csr-approver控制器 项目地址:https://gitcode.com/postfinance/kubelet-csr-approver 在Kubernetes的集群安全管理中,证书管理是至关重要的环节。kubelet-csr-approver是一个专门设计用于自动化批准kubelet-serving证书签名请求(CSRs)的控制器,它引入了...
基于x509创建访问apiserver的user
python基础
09-04 157
x509 访问apiserver
Error: kubernetes cluster unreachable: Invalid x509 certificate
qq_42997214的博客
01-19 1897
Error: kubernetes cluster unreachable: x509: certificate is valid for 10.96.0.1, 10.23.214.68, 10.23.151.13, not 113.31.167.24 从我的本地环境访问在公有云上搭建的k8s集群,出现以上报错,告诉我,我的apiserver ip 113.31.167.24认证不通过,所以无法访问。 解决方案: 方案一(长期不推荐,暂时测试可用): 告诉kubectl 跳过证书认证,此动作会存在安全隐患
kubectl-view-cert: 一款超实用 Kubernetes SSL 证书管理工具
easylife206的专栏
05-16 481
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !先描述下场景,当一个kubernetes集群中有大量的应用创建了声明tls类型的ingress资源时,维护这个tls的secret工作将变得异常繁琐。特别是当证书即将过期需要替换时,运维不得不挨个检查一遍,整个过程需要非常细致且麻烦,通常它的流程经过下面阶段:遍历namespaces下的secret用base64将私...
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决【详细步骤】
marlinlm的博客
12-27 9257
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决
使用 Java 操作 Kubernetes API
01-07
目录 本文目标 k8s-client-java选型 kubernetes-client/java和fabric8io/kubernetes...ApiClient初始化&认证 CRD资源增删改查 操作示例 Namespaces增删改查 Node增删改查 Pod增删改查 优先级 Services增删改查 操作示例
sample-apiserver:自定义Kubernetes APIapiserver的参考实现
04-29
注意:将此软件包打包或k8s.io/sample-apiserver为k8s.io/sample-apiserver 。 目的 如果要构建用于API聚合的扩展API服务器,或构建独立的Kubernetes风格的API服务器,则可以使用此代码。 但是,请考虑其他两个...
hypershift-lite:Kubernetes APIServer即服务
04-06
轻量级运算符,可创建没有工作程序的简单Kubernetes API服务器。 入门 要求 现有的Kubernetes或OpenShift集群 OpenShift CLI客户端 安装 克隆此存储库 安装CRD oc apply -f ./config/crds 安装操作员oc apply -f ....
kubernetes-server-linux-amd64.tar
01-17
这个压缩包包含了运行Kubernetes集群所需的全部核心组件,如kube-apiserver、kube-controller-manager、kube-scheduler以及kubelet等,它们是构建和管理Kubernetes集群的基础。 1. **kube-apiserver**:作为...
apiserver:用于编写Kubernetes风格的API服务器的库
02-11
api服务器 用于构建Kubernetes聚合API服务器的通用库。 目的 该库包含用于创建Kubernetes聚合... apiserver是从同步的。 在该位置进行代码更改,合并到k8s.io/kubernetes ,然后在此处同步。 事情你不应该这样做 直
利用kubeconfig文件生成证书,用curl命令访问Kubernetes API server
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-22 4287
kubectl 通过访问 Kubernetes API 来执行命令。我们也可以通过对应的TLS key, 使用curl 或是 golang client做同样的事。 API 请求必须使用 JSON 格式来发送。 kubectl 的作用是将 .yaml 转换为 JSON 格式进行 API 请求。 配置 TLS 连接 1、我们从查看 kubectl 的配置文件开始,需要:三个证书API serve...
X509 证书详解
热门推荐
blue0bird的专栏
12-01 2万+
X509 证书详解 1 Certificates 1-1 Structure of a Certificate 1-2 Extensions informing a specific usage of a certficate 1-3 Certificate filename extensions 2 Certificate chains and cross-certifica
pem格式证书编码 x509_公钥证书编码解读
weixin_39770506的博客
12-19 4791
一、文件编码PEM (Privacy Enhancement Message),定义见结构组成 == {header} body {tail}示例-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMYfnvWtC8Id5bPKae5yXSxQTt+Zpul6AnnZWfI2TtIarvjHBFUtXRo96y7hoL4...
Kubernetes 版本及版本倾斜支持策略
qq522044637的博客
09-30 321
Kubernetes 版本及版本倾斜支持策略 本文描述 Kubernetes 各组件之间版本偏差支持策略。 特定的集群部署工具可能会有额外的限制。 版本支持策略 Kubernetes 版本号格式为x.y.z,其中x为大版本号,y为小版本号,z为补丁版本号。 版本号格式遵循Semantic Versioning规则。 更多信息,请参阅Kubernetes 发布版本。 Kubernetes 项目会维护最近的三个小版本分支(1.22, 1.21, 1.20)。 Kubernetes 1...
Kubernetes证书认证
Kubernetes中文社区
09-20 9249
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
浅聊Kubernetes的各种认证策略以及适用场景
Docker的专栏
01-29 1362
Kubernetes认证背景为什么Kubernetes没有用户以及用户组?Kubernetes的RBAC模型授权对象(Subject)是用户(User)或者用户组(Group),即使Se...
K8S基础-kubectl
wangshui898的专栏
11-19 239
基础命令-kubectl 查看命令 ## 查看集群信息 kubectl cluster-info kubectl cluster-info dump ## 查看集群各服务信息 kubectl get cs ## 查看集群证书请求信息 kubectl get csr ## 批准证书 kubectl certificate approve node-csr-GOt-4QjBYgU9iN0V05ZCOxmK8wfwve50u_n0erxEeCc ## 查看k8s集群节点 kubectl get node
Kubernetes扩展开发:APIServer剖析与状态管理详解
- Kubernetes提供的工具链如apiserver-boot,帮助开发者快速搭建服务端和客户端。这些工具不仅简化了API的创建和管理,还提供了客户端的抽象,使得开发者能专注于业务逻辑,而不是底层细节。 5. 扩展开发实例: -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

i余数

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值