配置PKS API
作为UAA Admin登录
要检索UAA管理管理客户端机密,请执行以下操作:
- 进入Ops Manager,点击PKS.
- Click Credentials.
- 要查看此机密,请单击Credential, 选择Pks Uaa Management Admin Client。客户端用户名是admin。
- 运行以下命令行进入UAA server
uaac target https://PKS-API:8443 --ca-cert CERT-PATH
PKS-API
是PKS API server的URL . 您在为IaaS安装企业PKS的PKS API部分中配置了这个URL。如果你登录了the Ops Manager VM, root certificate位置在/var/tempest/workspaces/default/root_ca_certificate.
CERT-PATH
是到根CA证书的路径。提供证书来使用SSL验证PKS API证书,例如:
$ uaac target api.pks.example.com:8443 --ca-cert /var/tempest/workspaces/default/root_ca_certificate
注意:如果您收到一个未知键:Max-Age = 86400警告消息,您可以安全地忽略它,因为它没有影响。
5.
运行以下命令,使用您在前一步中检索到的秘密对UAA进行身份验证:
uaac token client get admin -s ADMIN-CLIENT-SECRET
ADMIN-CLIENT-SECRET is your UAA management admin client secret.
配置PKS API访问
- 找到你的Ops Manager root CA certificate位置
- 如果OPS管理器生成了您的证书,可使用OPS管理器API管理证书.
- 如果您提供了自己的证书,请复制并粘贴您的证书到PKS API窗格中的文件
- 通过运行以下命令指向你的UAA server
uaac target https\://PKS-API:8443 --ca-cert ROOT-CA-FILENAME
PKS-API
是用于访问PKS API的完全限定域名(FQDN)。您在安装PKS时在选项PKS API中配置了这个URL
ROOT-CA-FILENAME
是上一步下载的证书文件的路径。例如:
$ uaac target api.pks.example.com:8443 --ca-cert my-cert.cert
https://
in the PKS API URL 是可选项,可写可不写
- 从UAA服务器请求令牌运行以下命令:
uaac token client get admin -s UAA-ADMIN-SECRET`
UAA-ADMIN-SECRET
是你的UAA admin secret. 可从Ops Manager > Enterprise PKS > Credentials > Pks Uaa Management Admin Client 找到你的UAA admin secret.
- 授权新用户或存在的用户集群的访问。查看Grant Enterprise PKS Access to a User
登录PKS CLI
在命令行上,在终端中运行以下命令以登录到PKS CLI
pks login -a PKS-API -u USERNAME -p PASSWORD --ca-cert CERT-PATH
替换命令中的占位符值,如下所示:
`PKS-API`` 是你在Ops Manager > Enterprise PKS > PKS API > API Hostname (FQDN)输入的域名,例如:api.pks.example.com
USERNAME
and PASSWORD
您在“授予企业PKS访问权限”中创建的帐户,该帐户用于使用UAA管理企业PKS中的用户。如果不使用-p提供密码,PKS CLI会交互地提示输入密码。Pivotal建议在没有-p标志的情况下运行login命令,以增加安全性。
CERT-PATH
是根CA证书的路径。提供证书来使用SSL验证PKS API证书。
例如:
For example:
$ pks login -a api.pks.example.com -u alana \
--ca-cert /var/tempest/workspaces/default/root_ca_certificate
如果您正在登录到一个受信任的环境,您可以使用-k来跳过SSL验证,而不是–ca-cert CERT-PATH。例如:
$ pks login -a api.pks.example.com -u alana -k
成功登录后,PKS CLI生成一个 creds.yml。包含API端点、CA证书(如果适用)、刷新令牌和访问令牌的yml文件。
默认情况下,信誉。creds.yml保存在~/.pks中。您可以使用PKS_HOME环境变量来覆盖此位置并使用来自任何目录的creds.yml。