如何访问Kubernetes集群?【Kubernetes集群X509认证方式】

最新推荐文章于 2024-03-27 18:59:00 发布
最新推荐文章于 2024-03-27 18:59:00 发布
阅读量1k 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57941987/article/details/129019032
版权

文章内容:

  • Kubernetes集群服务端、客户端是如何通过kubeconfig文件完成认证以及用户信息识别的?

当搭建好Kubernetes集群后,可以通过kubectl get pod -A获取集群内所有的POD信息:
Kubernetes集群POD
为什么通过一份kubeconfig文件,Kubernetes就能完成访问认证以及用户身份的识别?其中的原理是什么样的?

1、解密kubeconfig文件

以下是我昨天刚搭建好的Kubernetes测试集群kubeconfig文件内容:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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
    server: https://192.168.56.10:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {
   }
users:
- name: kubernetes-admin
  user:
    client-certificate-data: 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
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb2dJQkFBS0NBUUVBdGRCOVRmMHd5aW8vSndiZkVnSmpXQjZRM3NoYjRTaUdySkI4MkY4SThzRDB4WG1HCkNlVkNvNnNibDdtRVVRLzRnaXNpZmpZZ2ZnL3NJMXhSeVQ1WWpSOG4reENoblMvaEh4REFvSGlLRUdmdm5zZCsKTmRyUmhyZXpheUxCTC9PWURnQ1RUNlMzNHpNZXY2cmxtelNrTkFDRzZ5a2YzaUtYRFRrQi9GR2tzNnN0MEM5agpXc0JaNmN0a2xGb0IxNVBpa3FWQVNMeGZSUjZLbmtBR2ZUamwzVHBSaENGWTdBckZBV3NuMG8zU296dGhMb1lFCkRvV2xZMkpjV2Jsb1VtOC9sc2xuOTQwcGJMSWIyeFR1ZUE3TEd4YlBMM3ZTNEJFQndJNUg5dW9VMGhWRGdSY00KK09JcU1rN3p3MUtTYVZoUkZjK0F6Q1VCUTlLdjBqd0lKRzErUXdJREFRQUJBb0lCQUhHUzhxT0VOVFVrbk55WgpPMEc1d2lzcXRONm1GRmNiaEwxSmFPT1V3amM2ZCt6ZjArNWNpM3RJQ08ySGt2TThZY1dXZ202TEMxTVVTVE54Cm1SbDRXOEtVSXRwLzhpVUo0cndRTC9ST09CaTFoSWNRSVhRczQ5UWU3dkpPL0pVaXV1cU1TM2xsOFFUNVN3ejYKQ1lJaHFTMWU0dWtGZ0lXMzM5bi9zWkRYdzJZRHlsWGVycWV0T1picExiM29Lb3pxRFlVY3U1VGNDNmFQNXVZRApSdmRWcEVLejZTdUs2MG9lWStzVGQyYVQ0MFZscWhuLzd2eUE2NjBVWnRZcXAwalR2OHY1WW5QbTlUOWM3U3BLCm9RSDYwOUhabnpCRFR6UDNkNTloOGVVQjRuUzU0SzEwTnBDTlpUcTVKYmdQTjlybndERmREOGtRWTdVVE1BWXAKdXRLaFY5a0NnWUVBd05IN250RmRwU2ZlQW5KbTQzZWRGL0hsV2ZPS1lkblZoSVN2Rkh1RmVBd0lXYk15QXVXVgplWlZuMDNET1Y1aDNKL285Q3Vacmd1VmxJbkFJbVNzRnBTVGVJMFVVYmk1VFFnQVlhU0dQMjVrVDIyMTVkRnRECkpKWS9nTkQvQ2Y0NmJ5NWJteTdqZU1DRENQaWxGb20rRFhuVUpFSC9xZDF6dVJnSnQzVFdCbjhDZ1lFQThXTlMKbkl1UCs5L1lGTEUvckgyd0lLaVR1UVpOQ0Nicjk0eVh3dTlZREJJM0J4VnB4L2J6eFpBWkRONnhCSlgybUo0bApOaFhNcm5CYlQvN2hOTWpJVkVlTmF1VnRLWHhUZ1I3OXhwK3d6bC9IV2tZTWdMUU1sNmZUSk9DeVQzQ3U0UnZoCk9GRTZHekVXQldrS1hwbjJqZmNvaFcyMklTdFBZVkxUaXF0dERqMENnWUJHMDVyeWpvTXdiRUYvY3BoYWk1QlgKd0ZIM3haNmFMTkxpVjM2Y0xuY3JUbmd1d3NUbkRYL25aanI2RHVDc2ltT1NlcmU3YmtJbGxhK2RnN3VVejVuRwpQSkdnTVBxOU1pVUJCRm56SEJIa253a05POXcySW1PNlo3b3h6aE13ajRMVlhoam1Hc1lSajkxU0NVdFN5UXZYCmxWMllaK25LY243VWlZRGdNM2wrYndLQmdESjRxUUpRY0JlakV5UW9kMzdTZk93bk0xUUJqRVBERjUyWUNQZGEKWWhlTUMzTnd0OEIyMHp1Z3lJd1hWLzMwZVM0cUN1L0hHUmYwS0RPT3dIbnY3V3NwMXRqZUJiZ2g1YmZleWdNbwp5cWdzQUp2UWY3YTlidENhNTV3VFcxVWU0NEh2K1dSMEgya21GMHVrVGVXLzNYeUxqQzV4NVI0RVYwR3JOczRNCnorMmxBb0dBYjE5OXNwVTB4TS82RndId2FsNTdwZ1RkZXdVUzBvTklITG4rZkFYUnJZQ3pIaVFvNlpxbEJkTWYKcjdhVm11ZEp2MWJoamVmTU5aOUI2d1oxb2k3M0ZZL3JTd3FPd0d3UG5WYWc3MFMzV3FZZDl0UFVQQVNodFlDago1OGJzdHdWU2RXZEJuNHRMUUticFpvUG45TUd5YlNwUDlQdk8wcjlpS0hLQmVIWHdKQUE9Ci0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg
最低0.47元/天 解锁文章
影踪3726
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes集群部署
02-27
* 防火墙(firewall):防火墙是防止非法访问的安全机制,在Kubernetes集群部署中,需要关闭防火墙以便于集群之间的通信。 * SElinux:SElinux是安全增强型Linux的缩写,用于控制进程的访问权限。在Kubernetes集群...
一文秒懂!腾讯云ES HTTPS 集群访问通信最佳实践
cloudbigdata的博客
08-05 1613
作者:吴容,腾讯云Elasticsearch高级开发工程师Elasticsearch提供了多种数据访问安全的方式,如用户名密码校验、api_key等。但是依然无法保障数据传输过程中的安全性问题。而HTTPS协议,则是一种以安全为目的的HTTP通道,在HTTP的基础上通过传输加密和身份认证等机制来保障数据传输过程中的安全性。本文将基于腾讯云ES集群环境,演示Beats、Lo...
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1411
访问kubelet接口的认证和授权
kubectl logs查看容器日志报错“ x509: certificate signed by unknown authority”
weixin_44207346的博客
02-02 2009
kubectl logs 无法查看日志
k8s apply时报错 x509: cannot validate certificate for xxx because it doesn‘t contain any IP SANs
Kainx
07-08 4734
k8s apply时报错 x509: cannot validate certificate for xxx because it doesn't contain any IP SANs 可能原因及解决方案
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 5984
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid。
kubernetes集群部署redis
09-02
kubernetes集群部署redis ,本资源为kubernetes集群部署redis高可用读写分离数据库,内含所有需要的yaml文件,有需要的可进行下载
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
使用Kubeadm工具快速安装Kubernetes集群 本文档主要介绍使用Kubeadm工具快速安装Kubernetes集群的步骤和详细配置过程。Kubeadm是Kubernetes官方提供的一个用于快速安装和管理Kubernetes集群的工具。通过本文档,...
在AWS中创建一个可靠的Kubernetes集群
02-25
作为一个集中于复杂的项目集成的技术公司,不但统一遗留系统而且模块化的解决方案,确保持久的可扩展性,我们正在从事大量的项目,包括客户软件开发;打包,开源和SaaS软件集成;基础设施设置;...
Tanzu系列:第5部分 - 登录Kubernetes集群
weixin_33669839的博客
08-24 858
1、通过Kubernetes CLI登录 参照上章节内容,从控制平面节点的IP地址下载并配置Kubernetes CLI,本例下载安装的是Windows版本的CLI工具,所有命令都是在cmd里面执行。 登录命令:kubectl vsphere login --server 10.245.0.1 --vsphere-username administrator@vsphere.local --insecure-skip-tls-verify 2、通过主管集群管理地址登录 ①在VC上点击左侧的集群,.
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
最新发布
牛奔的博客
03-27 504
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
kubeconfig文件执行kubectl发生x509证书认证问题解决
kingu_crimson的博客
11-11 2649
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书,证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。删除当前kubernetes集群下的apiserver的cert和key。刷新admin.conf。
Error: kubernetes cluster unreachable: Invalid x509 certificate
qq_42997214的博客
01-19 1897
Error: kubernetes cluster unreachable: x509: certificate is valid for 10.96.0.1, 10.23.214.68, 10.23.151.13, not 113.31.167.24 从我的本地环境访问在公有云上搭建的k8s集群,出现以上报错,告诉我,我的apiserver ip 113.31.167.24认证不通过,所以无法访问。 解决方案: 方案一(长期不推荐,暂时测试可用): 告诉kubectl 跳过证书认证,此动作会存在安全隐患
利用kubeconfig文件生成证书,用curl命令访问Kubernetes API server
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-22 4287
kubectl 通过访问 Kubernetes API 来执行命令。我们也可以通过对应的TLS key, 使用curl 或是 golang client做同样的事。 API 请求必须使用 JSON 格式来发送。 kubectl 的作用是将 .yaml 转换为 JSON 格式进行 API 请求。 配置 TLS 连接 1、我们从查看 kubectl 的配置文件开始,需要:三个证书和 API serve...
K8S证书过期处理
李半仙
10-09 1206
K8S证书过期处理 一、查看证书过期时间 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|xargs -L 1 -t -i bash -c 'openssl x509 -noout -text -in {}|grep After' 二、备份原来的配置文件和证书 find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i cp {} /opt/ 三
【certs】普通用户配置密钥k8s apiserver https访问权限
国产-达芬奇
01-15 812
普通用户配置密钥k8s apiserver https访问权限
k8s安装metrics服务报错,如何解决
qq_15156403的博客
12-09 878
看metrics的pod的logs,一直报x509: subject with cn=front-proxy-client is not in the allowed list 最后修改vim /etc/kubernetes/manifests/kube-apiserver.yaml - --requestheader-allowed-names=front-proxy-client,成功。
手动部署 Kubernetes 集群指南
"安装 Kubernetes 集群的详细步骤,适用于 CentOS 7 和 Ubuntu 16.04 以上版本。" 在本文档中,我们将逐步学习如何手动部署一个 Kubernetes 集群,而不是依赖自动化工具如 `kubeadm`。这个过程将涵盖各个组件的配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

影踪3726

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值