OpenShift 4 - 为客户端配置使用基于CA证书的kubeconfig实现无密码登录

最新推荐文章于 2023-04-14 21:34:38 发布
最新推荐文章于 2023-04-14 21:34:38 发布
阅读量791 收藏
点赞数
分类专栏: OpenShift 4 安全 certificate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/117784472
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
certificate
5 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.7环境中验证

文章目录

OpenShift的身份认证方式

客户端在访问OpenShift的时候可以使用3种方式向OpenShift提供认证信息。

  • 用户名密码
  • Token
  • CA证书
    本文说明如何为客户端配置认证CA,并将其配置到kubeconfig中进行自动登录。

为客户端配置认证CA证书

  1. 先用clusteradmin角色的用户登录OpenShift。
  2. 设置变量
$ AUTH_NAME="auth2kube"
$ KUBECONFIG_FILE="~/mykubeconfig"
  1. 为“myuser”创建证书申请(csr文件)和对应秘钥。
$ openssl req -new -newkey rsa:4096 -nodes -keyout $AUTH_NAME.key -out $AUTH_NAME.csr -subj "/CN=myuser/O=system:masters"
Generating a RSA private key
.....................++++
..++++
writing new private key to 'auth2kube.key'
-----
  1. 为证书签名请求(csr)创建对应的K8s对象。
$ cat << EOF >> $AUTH_NAME-csr.yaml
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: $AUTH_NAME-access
spec:
  groups:
  - system:authenticated
  request: $(cat $AUTH_NAME.csr | base64 | tr -d '\n')
  usages:
  - client auth
EOF
 
$ oc create -f auth2kube-csr.yaml
W0610 07:38:10.053898     536 warnings.go:70] certificates.k8s.io/v1beta1 CertificateSigningRequest is deprecated in v1.19+, unavailable in v1.22+; use certificates.k8s.io/v1 CertificateSigningRequest
certificatesigningrequest.certificates.k8s.io/auth2kube-access created
  1. 查看csr 请求,并审批通过。
$ oc get csr auth2kube-access
NAME               AGE   SIGNERNAME                     REQUESTOR   CONDITION
auth2kube-access   16s   kubernetes.io/legacy-unknown   admin       Pending

$ oc adm certificate approve auth2kube-access
certificatesigningrequest.certificates.k8s.io/auth2kube-access approved
  1. 从批准后的证书获取客户端证书(crt文件)。
$ oc get csr $AUTH_NAME-access -o jsonpath='{.status.certificate}' | base64 -d > $AUTH_NAME-access.crt
  1. 利用客户端证书和秘钥创建新的kubeconfig。
$ oc config set-credentials myuser --client-certificate=$AUTH_NAME-access.crt --client-key=$AUTH_NAME.key --embed-certs --kubeconfig=${KUBECONFIG_FILE}
User "myuser" set.
  1. 设置 myuser 登录后缺省使用default项目。
$ oc config set-context myuser --cluster=$(oc config view -o jsonpath='{.clusters[0].name}') --namespace=default --user=myuser --kubeconfig=${KUBECONFIG_FILE}
Context "myuser" created.
  1. 获得OpenShift的CA证书,并将其加入kubeconfig中。
$ oc -n openshift-authentication rsh `oc get pods -n openshift-authentication -o name | head -1` cat /run/secrets/kubernetes.io/serviceaccount/ca.crt > ingress-ca.crt
 
$ oc config set-cluster $(oc config view -o jsonpath='{.clusters[0].name}') --server=$(oc config view -o jsonpath='{.clusters[0].cluster.server}') --certificate-authority=ingress-ca.crt --kubeconfig=${KUBECONFIG_FILE} --embed-certs
Cluster "local" set.
  1. 设置当前使用${KUBECONFIG_FILE}中的配置。
$ oc config use-context myuser --kubeconfig=${KUBECONFIG_FILE}
Switched to context "myuser".

$ export KUBECONFIG=${KUBECONFIG_FILE}
  1. 直接用myuser登录验证,登录过程不需要密码,而是用kubeconfig中的证书进行登录。
$ oc login -u myuser
Logged into "https://openshift:6443" as "myuser" using existing credentials.
 
You have access to 61 projects, the list has been suppressed. You can list all projects with 'oc projects'

Using project "default".

$ oc whoami
myuser

参考

https://rcarrata.com/openshift/regenerate-kubeconfig/

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenShift — 部署 OKD 4.5
烟云的计算
01-01 4727
目录 文章目录目录文档资料服务器环境前期准备部署 Bastion Node基础配置安装 OpenShift CLI安装 openshift-install安装 ETCD安装 CoreDNS安装 HAProxy安装 Registry安装 Nginx准备 OpenShift Nodes 部署所需的配置文件部署 Bootstrap Node部署 Master Node部署 Worker NodeTroubleshootingWorker Node 镜像认证不通过 文档资料 官方文档:https://docs.
Openshift 4.4 静态 IP 离线安装系列:准备离线资源
sinat_28371057的博客
12-01 2733
本系列文章描述了离线环境下以 UPI (User Provisioned Infrastructure) 模式安装 Openshift Container Platform (OCP) 4.4.5 的步骤,我的环境是 VMware ESXI 虚拟化,也适用于其他方式提供的虚拟机或物理主机。离线资源包括安装镜像、所有样例 Image Stream 和 OperatorHub 中的所有 RedHat Operators。 本系列采用静态 IP 的方式安装 OCP 集群,如果你可以随意分配网络,建议采用 DHC
OpenShift 4 - 用自定义的TLS证书对访问OpenShift的用户认证身份
多恩斯基的博客
08-02 1146
通过《OpenShift 4之增加 HTPasswd方式的身份认证》一文在OpenShift中增加一个用户(例如user100,密码password) 用user100登录OpenShift控制台,并创建user100-1项目。 用集群管理员在命令行登录OpenShift。 设置环境变量。 $ export OCP_USERNAME="user100" $ export OCP_API_SERVER=$(oc whoami --show-server) $ mkdir ${OCP_USERNAME} .
Kubernetes kubectl config 对集群做配置
小楼一夜听春雨,深巷明朝卖杏花
10-22 1094
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig配置kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
Openssl 生成K8s证书使用
qq_36864672的博客
04-14 571
【代码】Openssl 生成K8s证书使用
kubectl get csr 显示No Resources Found的解决记录
热门推荐
weixin_33695082的博客
08-17 1万+
为什么80%的码农都做不了架构师?>>> ...
Openshift 4.4 静态 IP 离线安装系列:初始安装
sinat_28371057的博客
12-01 1114
Openshift 4.4 静态 IP 离线安装系列:初始安装 上篇文章准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例Image Stream和OperatorHub中的所有 RedHat Operators。本文就开始正式安装OCP(Openshift Container Platform) 集群,包括 DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。 OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配...
Docker集群管理工具-Kubernetes1.10.6(k8s)四节点集群使用kubeadm部署流程(一)
qq_24513043的博客
09-06 2604
一:Kubernetes介绍 1: Kubernetes是什么 Kubernetes是Google开源的容器集群管理系统,是基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件。 Kubernetes提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,其主要功能如下: 1) 使用Docker对应用程...
Kubernetes介绍和使用
robinhunan的博客
05-12 851
Kubernetes介绍 Kubernetes是Google开源的容器集群管理系统,是基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件。 Kubernetes提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,其主要功能如下: 1) 使用Docker对应用程序包装(package)、实例化(instantiate)、运行(run)。 2) 将多台Docker主机抽象为一个资源,以集群的方式运行、管理跨机器的.
使用OC进行实现GET和POST请求
激情四射的博客
12-30 6962
// // ViewController.m // OC-13_02 // // Created by Ibokan on 15/12/28. // Copyright © 2015年 ibokan. All rights reserved. // #import "ViewController.h" #import "WeiboModel.h" @interface ViewCont
OC语言基础五:OC中的set和get方法,属性生成器,属性约束
煮酒Shae
04-14 1607
文章目录set和get语法属性生成器属性约束 set和get 在类的外部间接的完成对属性或者成员变量的赋值和取值操作。 好处是隐藏了具体的实现逻辑,对外提供接口,也方便类的使用者去赋值和取值操作,而且用接口去实现操作,会使代码的语义更加的明确。而直接访问成员变量会破坏代码的封装性. 类的成员变脸默认是受保护的,protected。如果要直接访问还要将它设为public. set和get方法都是对象...
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 944
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShiftKubernetes 的客户端每次向 OpenShiftKubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
OpenShift 4 - 用KubeletConfig和ContainerRuntimeConfig分别修改集群节点的Kubelet和cri-o的配置
多恩斯基的博客
09-06 1082
文章目录KubeletConfigController和KubeletConfig查看节点的Kubelet配置修改节点的Kubelet配置参考 KubeletConfigController和KubeletConfig 在《OpenShift 4 - 如何用Machine Config Operator修改集群节点CoreOS的配置》一文中提到在OpenShift的Machine Config Controller中包括一个名为Kubelet Config Controller的子组件,该组件接收基于CRD
OpenShift 4 - DevSecOps Workshop (10) - 向Stage环境部署应用镜像
多恩斯基的博客
08-18 451
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 $ USER=$(oc whoami) $ DEV=${USER}-dev1 $ CICD=${USER}-cicd1 $ STAGE=${USER}-stage1 $ oc new-project ${STAGE} $ oc apply -f - << EOF apiVersion: tekton.dev/v1beta1 kind: Task metadata: name: git-v
openshift 学习笔记】第十一章 度量与日志管理
zhonglinzhang
04-13 3979
一. 前言一. 配置 service account 切换到 openshift-infra 项目oc project openshift-infra创建采集组建所需的 service account 帐号oc create serviceaccount metrics-deployer需要读取集群信息的权限,需要为 service account 授权oadm policy add-role-t...
搭建基于证书认证登录的Open***服务器
weixin_34405925的博客
07-13 403
一、Open***简介    Open*** 是一个基于 OpenSSL 库的应用层 *** 实现。和传统 *** 相比,它的优点是简单易用。    Open***允许参与建立***的单点使用共享金钥,电子证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库中的SSLv3/TLSv1 协议函式库。Open***能在Solaris、Linux、OpenBSD、FreeBSD、Net...
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值