开发者社区> 店家小二> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

kubernetes apiserver认证

简介: kubernetes认证 Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证 api-server的认证方式: 基本认证:basic-auth --basic-auth-file=/path/to/basic-auth.
+关注继续查看

kubernetes认证

Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证

api-server的认证方式:

  • 基本认证:basic-auth

--basic-auth-file=/path/to/basic-auth.csv
在basic-auth.csv中拥有以列为单位的认证 信息,格式为password,username,uid

示例:

passwd,kinderao,1
password2,test,2
然后在 kube-apiserver启动的时候加上--basic-auth-file=/path/to/basic-auth.csv这个参数,启动起来过后再在使用k8s的api就需要加上认证信息,否则就会unauthorized,加认证信息的方法是在http请求的header中添加一个Authorization,value是Basic base64编码后的用户名密码信息
  • Token认证:token-auth

    --token-auth-file=/path/to/token-auth.csv

在token-auth.csv中拥有以列为单位的认证信息,格式为token,username,uid

示例

token,kinderao,1
token2,kinderao2,2
同样也是在apiserver的启动参数里面加入--token-auth-file=/path/to/token-auth.csv这个参数,然后在请求的时候同样在header中添加Authorization,value是Bearer token
  • CA证书认证:

    在使用证书认证之前首先需要申请证书,证书可以通过权威CA来申请,也可以通过自签证书,不过部署kubernetes的大多数环境都是内网环境,所以更多的还是使用的是自签证书。

生成证书的步骤如下:

  1. 首先需要你的linux系统上安装有openssl,大多数的linux发行版都带有这个工具,使用openssl生成根证书cacert:

    # 生成密钥
    openssl genrsa -out ca.key 2048
    # 生成根证书
    openssl req -x509 -nodes -key ca.key -subj "/CN=yourcomany.com" -days 5000 -out ca.crt
  2. 为server生成证书:

    # 生成server的密钥
    openssl genrsa -out server.key 2048
    # 生成证书申请,其中的hostname需要填入你的服务器的域名或者ip地址,这个地方有个坑 # 就是在这填入的是什么地址,在client请求的时候就要使用这个地址,之前配的是ip,但是请求的时候使用主机名,导致一直没有出现bad certificate的问题
    openssl req -new -key server.key -subj "/CN=`hostname`" -out server.csr
    # 使用刚才生成的根证书以及密钥来生成server的证书
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
  3. 再为client生成证书:

    # 生成client的密钥
    openssl genrsa -out client.key 2048
    # 生成证书申请,这里需要填的地址和上面的server一致即可
    openssl req -new -key client.key -subj "/CN=`hostname`" -out client.csr
    # 使用根证书和密钥来生成client的证书
    openssl x509 -req -in client.csr -CA ca.crt -CAcreateserial -out client.crt -days 5000
  4. 配置api-server的启动参数,在apiserver的启动参数中加上下面的启动参数

    --secure-port=443 --client_ca_file=/root/genkey/ca.crt 
    --tls-private-key-file=/root/genkey/server.key 
    --tls-cert-file=/root/genkey/server.crt

也可以放到/etc/kubernets/apiserver配置文件的args参数里面
启动kube-apiserver会看见一下日志:

I0330 05:17:46.582385 4776 config.go:531] Will report 10.0.0.103 as public IP address.
[restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] listing is available at https://10.0.0.103:443/swaggerapi/
[restful] 2017/03/30 05:17:46 log.go:30: [restful/swagger] https://10.0.0.103:443/swaggerui/ is mapped to folder /swagger-ui/
I0330 05:17:46.950556 4776 serve.go:104] Serving securely on 0.0.0.0:443
I0330 05:17:46.950618 4776 serve.go:118] Serving insecurely on 127.0.0.1:8080

我们在本机上使用curl来验证一下:

curl https://hostname:443 --cacert ca.crt --key client.key --cert client.crt

以后的请求都需要带有根证书和client key和client的证书

本文转自SegmentFault-kubernetes apiserver认证

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【Kubernetes】开发中与 APIServer 常见的几种认证方式
介绍了几种在开发过程中与 APIServer 交互的认证方式
0 0
Kubernetes云容器技术专题—k8s之apiserver部署
集群规划 主机名 角色 ip HDSS7-21.host.com kube-apiserver 192.168.12.13 HDSS7-22.host.com kube-apiserver 192.168.12.14 HDSS7-11.host.com 4层负载均衡 192.168.12.11 HDSS7-12.host.com 4层负载均衡 192.168.12.12 注意:这里192.168.12.11和192.168.12.12使用nginx做4层负载均衡器,用keepalive跑一个vip:192.168.12.10,代理两个kube-apiserver,实现高可用
0 0
如何使用curl访问k8s的apiserver
使用TOKEN授权访问api-server在k8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名+密码的认证...
0 0
记一次kubernetes集群异常:kubelet连接apiserver超时
来源:小米云技术ID:mi-cloud-tech作者:高荣背 景 kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。
1405 0
kubernetes代码阅读-apiserver之list-watch篇
apiserver的list-watch代码解读 list-watch,作为k8s系统中统一的异步消息传递方式,对系统的性能、数据一致性起到关键性的作用。今天我想从代码这边探究一下list-watch的实现方式。
1049 0
Kubernetes(k8s)代码解读-apiserver之list-watch篇
apiserver的list-watch代码解读 list-watch,作为k8s系统中统一的异步消息传递方式,对系统的性能、数据一致性起到关键性的作用。今天我想从代码这边探究一下list-watch的实现方式。
3926 0
Kubernetes 的安全机制 APIServer 认证、授权、准入控制
本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解:APIServer 认证、授权、准入控制等。 我们都知道 kubenetes 默认在两个端口提供服务:一个是基于 https 安全端口 6443,另一个是基于 http 的非安全端口 8080。
1768 0
kubernetes代码阅读-apiserver基础篇
apiserver是整个kubernetes的核心模块,做的事情多,代码量也较大。市面上已经有不少apiserver代码解读的文章了,但问题在于,由于k8s的代码变化很快,想写一篇长久能用的未必能做到。
1441 0
kubernetes代码阅读-apiserver之list-watch篇
apiserver的list-watch代码解读 list-watch,作为k8s系统中统一的异步消息传递方式,对系统的性能、数据一致性起到关键性的作用。今天我想从代码这边探究一下list-watch的实现方式。
779 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
深耕云原生技术– Kubernetes应用渐入佳境
立即下载
Kubernetes 问题排查全景图
立即下载
企业运维之云原生和Kubernetes 实战
立即下载