kubernetes apiserver认证
kubernetes认证
Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证
api-server的认证方式:
-
基本认证:basic-auth
--basic-auth-file=/path/to/basic-auth.csv
在basic-auth.csv中拥有以列为单位的认证 信息,格式为password,username,uid
示例:
passwd,kinderao,1 password2,test,2
然后在 kube-apiserver启动的时候加上--basic-auth-file=/path/to/basic-auth.csv这个参数,启动起来过后再在使用k8s的api就需要加上认证信息,否则就会unauthorized,加认证信息的方法是在http请求的header中添加一个Authorization,value是Basic base64编码后的用户名密码信息
-
Token认证:token-auth
--token-auth-file=/path/to/token-auth.csv
在token-auth.csv中拥有以列为单位的认证信息,格式为token,username,uid
示例
token,kinderao,1 token2,kinderao2,2
同样也是在apiserver的启动参数里面加入--token-auth-file=/path/to/token-auth.csv这个参数,然后在请求的时候同样在header中添加Authorization,value是Bearer token
-
CA证书认证:
在使用证书认证之前首先需要申请证书,证书可以通过权威CA来申请,也可以通过自签证书,不过部署kubernetes的大多数环境都是内网环境,所以更多的还是使用的是自签证书。
生成证书的步骤如下:
-
首先需要你的linux系统上安装有openssl,大多数的linux发行版都带有这个工具,使用openssl生成根证书cacert:
# 生成密钥 openssl genrsa -out ca.key 2048 # 生成根证书 openssl req -x509 -nodes -key ca.key -subj "/CN=yourcomany.com" -days 5000 -out ca.crt
-
为server生成证书:
# 生成server的密钥 openssl genrsa -out server.key 2048 # 生成证书申请,其中的hostname需要填入你的服务器的域名或者ip地址,这个地方有个坑 # 就是在这填入的是什么地址,在client请求的时候就要使用这个地址,之前配的是ip,但是请求的时候使用主机名,导致一直没有出现bad certificate的问题 openssl req -new -key server.key -subj "/CN=`hostname`" -out server.csr # 使用刚才生成的根证书以及密钥来生成server的证书 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
-
再为client生成证书:
# 生成client的密钥 openssl genrsa -out client.key 2048 # 生成证书申请,这里需要填的地址和上面的server一致即可 openssl req -new -key client.key -subj "/CN=`hostname`" -out client.csr # 使用根证书和密钥来生成client的证书 openssl x509 -req -in client.csr -CA ca.crt -CAcreateserial -out client.crt -days 5000
-
配置api-server的启动参数,在apiserver的启动参数中加上下面的启动参数
--secure-port=443 --client_ca_file=/root/genkey/ca.crt --tls-private-key-file=/root/genkey/server.key --tls-cert-file=/root/genkey/server.crt
也可以放到/etc/kubernets/apiserver配置文件的args参数里面
启动kube-apiserver会看见一下日志:
I0330 05:17:46.582385 4776 config.go:531] Will report 10.0.0.103 as public IP address. [restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] listing is available at https://10.0.0.103:443/swaggerapi/ [restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] https://10.0.0.103:443/swaggerui/ is mapped to folder /swagger-ui/ I0330 05:17:46.950556 4776 serve.go:104] Serving securely on 0.0.0.0:443 I0330 05:17:46.950618 4776 serve.go:118] Serving insecurely on 127.0.0.1:8080
我们在本机上使用curl来验证一下:
curl https://hostname:443 --cacert ca.crt --key client.key --cert client.crt
以后的请求都需要带有根证书和client key和client的证书
本文转自SegmentFault-kubernetes apiserver认证
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
kubernetes一些简单的基础知识
service:分布式集群架构的核心 service的几个特性: 唯一的名字 拥有一个虚拟IP和端口号 具有远程服务的 能力 映射到提供这种服务能力的一组容器上 集群管理 图片描述:k8s将急群众的机器划分为一个Master节点和一群工作节点(Node)。 Master节点上运行这kube-apiserver、kube-controller-manager和kube-scheduler进程,这些进程负责的功能有(都是自动完成的): 资源管理 Pod调度 弹性伸缩 安全控制 系统监控 纠错 资源管理 资源管理 Kubernetes API Server(kube-apiserver):提供了HTTP REST接口的关键服务进程,是Kubernates里所有资源的增删改查操作的唯一入口,也是集群控制的入口进程。 Kubernetes Controller Manager(kube-controller-manager):kubernetes中所有资源对象的自动化控制中心,可以理解为资源对象的大脑。 Kubernetes Scheduler(kube-scheduler):负责资源调度(Po...
- 下一篇
Kubernetes RBAC源码解析
RBAC基础概念 在kubernetes 1.6版本中,正式引入了角色访问控制机制(Role-Based Access Control,RBAC),让集群管理员可以针对使用者(user或者group)或服务账号(service account),进行更精确的资源访问控制。 在正式对kubernetes RBAC的源码进行解析之前,需要了 解几个基本的概念。 角色:是一系列权限的集合,例如一个角色包含services的list、watch权限。 角色绑定:是把角色映射到用户,从而让这些用户继承角色的权限。 若需在kubernetes中开启RBAC的服务,在apiserver的启动参数里设定鉴权模式, --authorization-mode=RBAC 角色与角色绑定 kubernetes中角色分为Role和ClusterRole,Role是namespace级别的,ClusterRole是集群级别的。 与RBAC相关的结构体的定义,全部位于pkg/apis/rbac/types.go文件中。 ClusterRole的结构体: type ClusterRole struct { metav...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Mario游戏-低调大师作品
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7