OpenShift 4 - 用自定义的TLS证书对访问OpenShift的用户认证身份

最新推荐文章于 2023-04-25 10:56:57 发布
最新推荐文章于 2023-04-25 10:56:57 发布
阅读量1.1k 收藏
点赞数
分类专栏: OpenShift 4 安全 文章标签: OpenShift Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107738355
版权

OpenShift 4.x HOL教程汇总

通常我们是使用username/password登录OpenShift,不过还可以证书登录OpenShift。使用证书除了可以参考《OpenShift 4 - 获取OpenShift的证书,实现基于证书的操作》,还可用本文创建自定义的证书然后注册到OpenShift中,这样就可以用证书登录操作OpenShift了。

  1. 通过《OpenShift 4之增加 HTPasswd方式的身份认证》一文在OpenShift中增加一个用户(例如user100,密码password)
  2. 用user100登录OpenShift控制台,并创建user100-1项目。
  3. 用集群管理员在命令行登录OpenShift。
  4. 设置环境变量。
$ export OCP_USERNAME="user100"
$ export OCP_API_SERVER=$(oc whoami --show-server)
$ mkdir ${OCP_USERNAME}
  1. 创建自签名证书。
$ openssl req -new -nodes -subj "/CN=${OCP_USERNAME}" -keyout ${OCP_USERNAME}/private.key -out ${OCP_USERNAME}/request.csr
  1. 创建CertificateSigningRequest对象。
$ cat <<EOF | oc apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: tls-auth-${OCP_USERNAME}
spec:
  signerName: "kubernetes.io/kube-apiserver-client"
  request: $(cat ${OCP_USERNAME}/request.csr | base64 | tr -d '\n')
  usages:
    - digital signature
    - key encipherment
    - client auth
  extra:
    scopes.authorization.openshift.io:
      - user:full
EOF
  1. 在OpenShift中通过CertificateSigningRequest审批。
$ oc adm certificate approve tls-auth-${OCP_USERNAME}
  1. 从已签名的CSR中获得客户端证书。
$ oc get csr tls-auth-${OCP_USERNAME} -o jsonpath="{.status.certificate}" | base64 -d > ${OCP_USERNAME}/certificate.pem
  1. 从API Server中获得CA链
$ oc get cm kube-apiserver-server-ca -o jsonpath="{.data.ca-bundle\.crt}" -n openshift-kube-apiserver > api-ca.pem
  1. 为用户创建kubeconfig文件,其中包括了用户证书、私钥要CA链。
$ oc adm create-kubeconfig \
  --kubeconfig=${OCP_USERNAME}/kubeconfig \
  --user=${OCP_USERNAME} \
  --client-certificate=${OCP_USERNAME}/certificate.pem \
  --client-key=${OCP_USERNAME}/private.key \
  --certificate-authority=api-ca.pem \
  --public-master=${OCP_API_SERVER} \
  --master=${OCP_API_SERVER}
  1. 从OpenShift退出集群管理员。
$ oc logout
  1. 设置KUBECONFIG,修改缺省使用的kubeconfig文件。
$ export KUBECONFIG="${OCP_USERNAME}/kubeconfig"
  1. 执行命令,确认当前是user100用户,可以创建应用,但是看不到Session的Token。
$ oc whoami
user100
$ oc whoami -t
error: no token is currently in use for this session
$ oc project user100-1
$ oc new-app openshift/hello-openshift
dawnsky.liu
关注
专栏目录
OpenShift CLI Cheatsheet OpenShift命令行速查表
锐意工作室
08-10 1740
文章目录OpenShift CLI Cheatsheet前言OpenShift CLI Cheatsheet普通命令登录oc loginoc logoutoc whoami项目管理oc projectoc projectsoc statusoc new-project应用构建和部署oc new-appoc processoc new-buildoc start-buildoc cancel-buildoc rolloutoc exposeoc set envoc set triggersoc set pro
Openshift4 Pipeline 调优
老菜的博客
05-11 442
Openshift4 Pipeline 调优 通过调整 pipeline 循序渐进的提高过程效率,并适应多场景。 与之前在openshift使用jenkins 做pipeline 时候的思路是一致的,通过配置私服地址和缓存编译文件到持久化存储,以提高编译效率。 调整前后,pipeline运行用时分别为 14min -> 9min -> 4min demo 场景介绍 使用到的pipeline 和自定义 task 存在github https://github.com/cai11745/ocp4-
OpenShift4 - 使用 Service CA 证书增加内部通讯安全
多恩斯基的博客
05-22 2070
OpenShift 4.x HOL教程汇总》 文章目录Service Certificate的作用Service CA Operator、Service CA 运行环境Service CA 构成组件Serving Cert SignerConfigMap cabundle injectorGeneric cabundle injector为Service生成包含证书的Secret参考 Service Certificate的作用 无论是在应用服务之间还是OpenShift内部服务之间,在 OpenShif
OpenShift 4 - 为客户端配置使用基于CA证书的kubeconfig实现无密码登录
多恩斯基的博客
06-10 849
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录OpenShift身份认证方式为客户端配置认证CA证书参考 OpenShift身份认证方式 客户端在访问OpenShift的时候可以使用3种方式向OpenShift提供认证信息。 用户名密码 Token CA证书 本文说明如何为客户端配置认证CA,并将其配置到kubeconfig中进行自动登录。 为客户端配置认证CA证书 先用clusteradmin角色的用户登录OpenShift。 设置
openshift3.11更新router证书
haiziccc的专栏
07-14 1439
本文主要参考https://docs.openshift.com/container-platform/3.11/install_config/redeploying_certificates.html#redeploying-custom-registry-or-router-certificates,但实际执行过程中遇到不少问题,下面下面介绍下实际执行步骤: 1.申请证书 openssl req -new -newkey rsa:2048 -sha256 -nodes -subj '/C=CN..
wget和curl访问https网页报错tlsv1 unrecognized name处理(未解决)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-30 3165
一、问题Maison 某次,linux环境使用wget下载软件时,出现报错: 正在解析主机 nginx.org... 52.58.199.22, 3.125.197.172, 2a05:d014:edb:5704::6, ... 正在连接 nginx.org|52.58.199.22|:443... 已连接。 OpenSSL: error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name 无法建立 SSL 连接。 二
关于Open Shift(OKD) 中 用户认证、权限管理、SCC 管理的一些笔记
最新发布
山河已无恙
04-25 1100
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为 openshift 用户认证和权限管理以及scc管理相关笔记学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
openshift-post-install:安装后第2天OpenShift 4的任务
05-07
安装后/ OpenShift 4的第二天任务 这些手册旨在自动执行常见的“第二天” OpenShift配置任务。 此回购仍在进行中。 背景 包括以下功能: 角色 能力 ACM添加辐条 将托管群集添加到ACM。 api服务器 替换TLS证书。 ...
openshift-lets-chat
06-24
SSL/TLS 麻省理工学院许可 即将推出的功能 应用程序接口 通过搜索获得更好的成绩单 更好的错误处理 表情自动完成 访问控制 手机客户端 入门 安装和 克隆仓库 git clone ...
openshift-demo
04-01
OpenShift外部身份验证提供程序 LDAP组同步 组策略 访问和项目协作 VMware上的MachineSet 基础结构节点和将群集服务移至基础节点 监控堆栈 AlertRules和警报接收器 基于OpenShift网络策略的SDN 出口IP 网络访问...
OpenShift 4 - 查看关键证书到期日期
多恩斯基的博客
05-22 2578
文章目录APIExternal APIInternal APIKube Controller ManagerClient certificateServer certificateKube SchedulerClient certificateServer certificateETCD CertificatesETCD Peer CertificatesETCD Serving CertificatesETCD Serving Metrics CertificatesNode CertificatesIn
OpenShift 使用htpasswd 认证方式
云原生,DevOps,Kubernetes
04-03 758
1. 在master上修改配置 vim /etc/origin/master/master-config.yaml oauthConfig: assetPublicURL: https://master.gitdevops.cn:8443/console/ grantConfig: method: auto identityProviders: challenge: true login: tr...
openshift/origin工作记录(2)——RESTful编程接口使用
个人学习记录
10-31 2659
由于工作原因,需要对openshift进行二次开发,初步研究了一下RESTful编程接口使用。 本部分内容借鉴了开源项目https://github.com/fabric8io/kubernetes-client,目前是引用开源项目的jar包对openshift集群进行操作。 demo工程放在了我的github上,地址为https://github.com/hu12081/openshift
OpenShift基础到精通
06-20
<div> <p> <img src="https://img-bss.csdnimg.cn/202006200149361743.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149446628.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149522584.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200150009290.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006302322144521.png" alt="" /></p> <p> <br /></p> </div>
OpenShift 4 - 用CA证书Token访问Internal Registry中的容器
多恩斯基的博客
07-10 1846
通常我们是使用username/password登录OpenShift,不过还可以使用以下方法,利用证书登录OpenShift。 在用集群管理员登录OCP,然后设置环境变量。 $ export OCP_USERNAME="dawnsky" $ export OCP_API_SERVER=https://api.cluster-beijing-1ec3.beijing-1ec3.example.opentlc.com:6443 生成用户的私钥和公钥文件 $ mkdir ${OCP_USERNAME}
openshift认证
毛台
04-21 1028
Openshift 红帽认证学习路径
Christina の Blog
05-02 1211
Openshift 简介
热门推荐
tangbiao的专栏
10-18 1万+
Openshift 概述简述OpenShift v3是一种分层的系统,它的目的是尽可能准确地揭露底层的docker格式化的容器映像和Kubernetes的概念,重点是开发人员可以轻松地组合应用程序。例如,安装Ruby、推代码和添加MySQL。与OpenShift v2不同的是,在创建模型的所有方面后,配置的灵活性会被暴露出来。将应用程序作为独立对象的概念被移除了,以支持更灵活的“服务”组合,允许两个
OpenShift解决绑定域名SSL证书错误问题
cdmamata的专栏
10-01 1974
转载地址:http://www.enkoo.net/openshift-ssl.html OpenShift的硬件环境很好,但对于国内用户来说,相当大一部分IP不能访问。绑定域名后,部分IP可以正常访问,其它的IP还是需要使用CDN来访问。绑定域名就涉及一个问题——SSL证书问题,免费用户不支持域名绑定证书,免费的CDN服务也不支持SSL证书。因此,需要关闭网站程序的SSL链接。
Python库openshift-python-wrapper-1.5.14使用指南
开源项目意味着代码对所有用户开放,可以自由地使用、修改和分发。当一个Python库被标记为开源时,它通常会遵循特定的开源许可证,例如MIT或GPL许可证。开发者可以访问项目的源代码,了解其内部实现细节,甚至可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值