阿里云kubernetes集群自制kubeconfig

最新推荐文章于 2023-07-19 23:06:45 发布
最新推荐文章于 2023-07-19 23:06:45 发布
阅读量510 收藏 1
点赞数
文章标签: json 运维
原文链接:https://yq.aliyun.com/articles/665807
版权

前提条件:

  1、创建一个阿里云kubernetes集群

  2、拥有登陆到master的ssh权限。


阿里云集群证书使用cfssl安装部署。

制作经过集群ca证书签署的客户端证书:test.crt

然后,先登陆到master上,在/etc/kubernetes/pki/目录下找到集群的ca证书:ca.crt。使用命令:openssl x509 -in /etc/kubernetes/pki/ca.crt -text -noout 获取制作签署证书的请求文件的相关配置信息

openssl x509 -in /etc/kubernetes/pki/ca.crt -text -noout

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number: 763442 (0xba632)

    Signature Algorithm: sha256WithRSAEncryption

        Issuer: C=CN, ST=ZheJiang, L=HangZhou, O=Alibaba, OU=ACS, CN=root

        Validity

            Not Before: Nov  5 09:07:00 2018 GMT

            Not After : Oct 31 09:12:25 2038 GMT

        Subject: O=xxx, OU=default, CN=xxx



签发Client Certificate:

cfssl print-defaults csr > admin-csr.json  获取模版

cat admin-csr.json 

{

    "CN": "example.net",

    "hosts": [

        "example.net",

        "www.example.net"

    ],

    "key": {

        "algo": "ecdsa",

        "size": 256

    },

    "names": [

        {

            "C": "US",

            "L": "CA",

            "ST": "San Francisco"

        }

    ]


}

修改成对应的json文件

{

    "CN": "test", #kubeconfig访问时的name,这里设置为test

    "hosts": [],

    "key": {

        "algo": "ecdsa",

        "size": 256

    },

    "names": [

        {

            "C": "CN",       #跟上面从ca.crt中获取的保持一致。

            "L": "HangZhou",

            "ST": "ZheJiang"

        }

    ]
}


生成集群签署的客户端证书
命令:cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -profile=kubernetes admin-csr.json | cfssljson -bare test
结果:
2018/11/08 11:38:37 [INFO] generate received request
2018/11/08 11:38:37 [INFO] received CSR
2018/11/08 11:38:37 [INFO] generating key: ecdsa-256
2018/11/08 11:38:37 [INFO] encoded CSR
2018/11/08 11:38:37 [INFO] signed certificate with serial number 304546120737391319875079966613142481233317700840
2018/11/08 11:38:37 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
[root@iZuf6d10hr1jufgj6yy9o5Z test]# ls
admin-csr.json  test.csr  test-key.pem  test.pem

test.pem和test-key.pem就是CA授权的客户端证书
制作kubeconfig,参考文档:k8s官网 新建一个config文件,内容如下: 
apiVersion: v1
kind: Config
preferences: {}

clusters:
- cluster:
  name: example

users:
- name: example

contexts:
- context:
  name: example



执行命令:
kubectl config --kubeconfig=config set-cluster test-cluster --server=https://1.2.3.4 --certificate-authority=ca.crt


kubectl config --kubeconfig=config set-credentials test --client-certificate=test.pem --client-key=test-key.pem


kubectl config --kubeconfig=config set-context test-context --cluster=test-cluster --user=test


查看config

8276712d4a85d8d62122631bb9f5a04683c15977


将kubeconfig需要的证书拷贝到自己的ecs上,放在 $HOME/.kube/目录下 。或者将证书转换成base64编码,将config中certificate-authority、client-certificate、client-key修改成certificate-authority-data、client-certificate-data、client-key-data然后配置

base64后的证书信息


44de2b8bc95e7c6cc0909daf6aa55db6b83f8078



直接访问集群结果:
#kubectl get node
Error from server (Forbidden): nodes is forbidden: User "test" cannot list nodes at the cluster scope

需要将给test用户绑定clusterrolebinding,然后再访问集群。

命令:kubectl create clusterrolebinding test-clusterrolebinding --clusterrole=cs:admin --user=test

然后再访问集群就可以了。




weixin_34296641
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云Kubernetes项目实战手册》.pdf
05-22
简介: 当我们尝试去理解 K8S 集群工作原理的时候,控制器肯定是一个难点。这是因为控制器有很多,具体实现大相径庭;且控制器的实现用到了一些较为晦涩的机制,不易理解。但是,我们又不能绕过控制器,因为它是集群...
kube-universe:Kubernetes集群的3D可视化
01-30
Kube-Universe将Kubernetes集群渲染为动态3D图。 示例景观可视化可以在找到。 可获得现场演示版本 产品特点 3D群集概述 识别有错误的豆荚 安装及使用 在开始之前,您需要安装statik以将Web内容供应到可执行文件中 ...
cfssljson详解1
qq_41768644的博客
07-19 373
大多数cfssl命令的输出内容都是JSON格式的,而cfssljson工具可以将这些JSON格式的输出内容作为输入内容,并按照key键(key, certificate, CSR, and bundle)将之区分然后输出。
k8s学习: kubeconfig文件详解
热门推荐
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
helm源码分析之pull
mark's technic world
08-02 1194
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931462251&tuin=ba64518 第二个视频发布https://edu.csdn.net/c..
Kubernetes kubectl config集群做配置
小楼一夜听春雨,深巷明朝卖杏花
10-22 1088
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
k8s实践1:kubectl config 命令
weixin_34144450的博客
03-04 2351
1.结合kubectl部署,加强了解kubectl config命令 kubectl config命令,生成集群信息,集群用户和用户权限并把这些内容写入kubectl读取的配置文件 部署kubectl时执行的kubectl config命令,见下 [root@k8s-master admin]# source /opt/k8s/bin/environment.sh # 设置集群参数 [root@k...
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
通过本文档,读者可以快速地安装和配置Kubernetes集群,满足云原生计算和容器化应用的需求。 一、系统初始化 在开始安装Kubernetes集群之前,需要对系统进行初始化和配置。首先,需要设置系统主机名和hosts文件的...
Kubernetes集群部署
02-27
Kubernetes集群部署 Kubernetes集群部署是指将Kubernetes集群安装和配置到多台机器上,实现高可用性和负载均衡的分布式系统。下面将详细介绍Kubernetes集群部署的步骤和相关知识点: Step 1: 准备环境 在开始部署...
1. Jenkins持续集成从入门到精通 2. 轻松玩转docker 3. 《阿里云Kubernetes项目实战手册》
最新发布
04-12
当我们尝试去理解 K8S 集群工作原理的时候,控制器肯定是一个难点。这是因为控制器有很多,具体实现大相径庭;且控制器的实现用到了一些较为晦涩的机制,不易理解。但是,我们又不能绕过控制器,因为它是集群的...
cfssl、cfssl-certinfo、cfssljson linux库
07-17
cfssl_linux-amd64 cfssl-certinfo_linux-amd64 cfssljson_linux-amd64
Kubernetes学习笔记-在多个集群中使用kubectl 20230623
wwxsoft的专栏
06-23 1254
多个集群使用kubectl
6.k8s主控节点-部署etcd
sirius
05-25 384
supervisor cfssl etcd k8s主控节点-部署etcd 一、准备集群证书 (证书环境参考4.证书环境章节) 准备ca-config.json 技巧:cfssl print-defaults config能够打印配置文件模板作参考 vi /etc/certs/ca-config.json { "signing": { "default": { "expiry": "175200h" }, "profiles".
云原生|kubernetes|多集群管理之kubeconfig文件配置和使用(定义,使用方法,合并管理多集群
zsk_john的技术分享专用博客
11-04 5041
kubeconfig文件的使用。
创建用户认证授权的 kubeconfig 文件
fushan2012的博客
08-17 1014
创建kubeconfig文件
kuberneteskubeconfig的用法
x_i_y_u_e的专栏
03-06 731
原文地址:https://www.cnblogs.com/charlieroro/p/8489515.html kuberneteskubeconfig的用法 在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只...
kubernetes视频教程笔记 (31)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-15 432
一、Authorization 上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。 API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “--authorization-mode” 设置) AlwaysDeny:表示拒绝所有的请求,一般用于测试 AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略 ABAC(Attribute-Based Access Control):...
使用cfssl生成证书时报json: cannot unmarshal object into Go value of type []csr.Name错误
wejack的专栏
04-16 1642
[root@hssd7-200 certs]# cfssl gencert -initca ca-csr.json json: cannot unmarshal object into Go value of type []csr.Name json如下 { "CN": "kubernetes", "hosts": [ ], "key": { "algo": "rsa", "size": 2048 }, "names": { "C": "CN", "S
Kubectl连接k8s集群
张伯毅的专栏
02-09 3334
一. 概述 需要使用kubectl连接多个k8s集群, 所以在这里做一个记录. 二.
阿里云Kubernetes集群高可用部署指南
"阿里云Kubernetes环境部署文档详细介绍了如何在阿里云上部署高可用的Kubernetes集群。文档涵盖了环境概述、服务器配置、部署准备、部署过程以及证书生成等关键步骤,确保集群的安全性和稳定性。" 在阿里云上部署...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值