『高级篇』docker之kubernetes搭建集群添加认证受权(下)(39)
原创文章,欢迎转载。转载请注明:转载自 IT人故事会,谢谢! 原文连接地址: 『高级篇』docker之kubernetes搭建集群添加认证受权(下)(39)
接上次的继续认证版的k8s搭建。
kubectl
准备证书
#kubectl证书放在这,因为kubectl至关于系统管理员,老铁使用admin命名
mkdir -p /etc/kubernetes/ca/admin
#准备admin证书配置 - kubectl只需客户端证书,所以证书请求中 hosts 字段能够为空
cp ~/kubernetes-starter/target/ca/admin/admin-csr.json /etc/kubernetes/ca/admin/
cd /etc/kubernetes/ca/admin/
#使用根证书(ca.pem)签发admin证书
cfssl gencert \
-ca=/etc/kubernetes/ca/ca.pem \
-ca-key=/etc/kubernetes/ca/ca-key.pem \
-config=/etc/kubernetes/ca/ca-config.json \
-profile=kubernetes admin-csr.json | cfssljson -bare admin
#老铁最终要的是admin-key.pem和admin.pem
ls
admin.csr admin-csr.json admin-key.pem admin.pem复制代码
8.2 配置kubectl
#指定apiserver的地址和证书位置(ip自行修改)
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ca/ca.pem \
--embed-certs=true \
--server=https://192.168.68.101:6443
#设置客户端认证参数,指定admin证书和秘钥
kubectl config set-credentials admin \
--client-certificate=/etc/kubernetes/ca/admin/admin.pem \
--embed-certs=true \
--client-key=/etc/kubernetes/ca/admin/admin-key.pem
#关联用户和集群
kubectl config set-context kubernetes \
--cluster=kubernetes --user=admin
#设置当前上下文
kubectl config use-context kubernetes
#设置结果就是一个配置文件,能够看看内容
cat ~/.kube/config复制代码
验证master节点
#可使用刚配置好的kubectl查看一下组件状态
kubectl get componentstatus复制代码
calico-node(主节点生成证书,102,103经过scp拷贝过去)
准备证书
后续能够看到calico证书用在四个地方:
-
calico/node 这个docker 容器运行时访问 etcd 使用证书
-
cni 配置文件中,cni 插件须要访问 etcd 使用证书
-
calicoctl 操做集群网络时访问 etcd 使用证书
-
calico/kube-controllers 同步集群网络策略时访问 etcd 使用证书
#calico证书放在这
mkdir -p /etc/kubernetes/ca/calico
#准备calico证书配置 - calico只需客户端证书,所以证书请求中 hosts 字段能够为空
cp ~/kubernetes-starter/target/ca/calico/calico-csr.json /etc/kubernetes/ca/calico/
cd /etc/kubernetes/ca/calico/
#使用根证书(ca.pem)签发calico证书
cfssl gencert \
-ca=/etc/kubernetes/ca/ca.pem \
-ca-key=/etc/kubernetes/ca/ca-key.pem \
-config=/etc/kubernetes/ca/ca-config.json \
-profile=kubernetes calico-csr.json | cfssljson -bare calico
#老铁最终要的是calico-key.pem和calico.pem
ls复制代码
拷贝主节点证书calico
因为calico服务是全部节点都须要启动的,须要把这几个文件拷贝到每台服务器上 ** 经过主节点拷贝到102,103两台机器上
#root的密码都是vagrant
scp -r /etc/kubernetes/ca/ root@192.168.68.102:/etc/kubernetes/ca/
scp -r /etc/kubernetes/ca/ root@192.168.68.103:/etc/kubernetes/ca/复制代码
肯定下主节点的/etc/kubernetes/ca/ 和 102,103内的目录一致。
更新calico服务
cp ~/kubernetes-starter/target/all-node/kube-calico.service /lib/systemd/system/
systemctl daemon-reload
service kube-calico start
#验证calico(能看到其余节点的列表就对啦)
calicoctl node status复制代码
kubelet
老铁这里让kubelet使用引导token的方式认证,因此认证方式跟以前的组件不一样,它的证书不是手动生成,而是由工做节点TLS BootStrap 向api-server请求,由主节点的controller-manager 自动签发。
建立角色绑定(主节点)
引导token的方式要求客户端向api-server发起请求时告诉他你的用户名和token,而且这个用户是具备一个特定的角色:system:node-bootstrapper,因此须要先将 bootstrap token 文件中的 kubelet-bootstrap 用户赋予这个特定角色,而后 kubelet 才有权限发起建立认证请求。 在主节点执行下面命令
#能够经过下面命令查询clusterrole列表
kubectl -n kube-system get clusterrole
#能够回顾一下token文件的内容
cat /etc/kubernetes/ca/kubernetes/token.csv
#建立角色绑定(将用户kubelet-bootstrap与角色system:node-bootstrapper绑定)
kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper --user=kubelet-bootstrap复制代码
建立bootstrap.kubeconfig(102,103工做节点)
这个配置是用来完成bootstrap token认证的,保存了像用户,token等重要的认证信息,这个文件能够借助kubectl命令生成:(也能够本身写配置)
很重要。 0b1bd95b94caa5534d1d4a7318d51b0e 上边有说明这个咋来的
#设置集群参数(注意替换ip)
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ca/ca.pem \
--embed-certs=true \
--server=https://192.168.68.101:6443 \
--kubeconfig=bootstrap.kubeconfig
#设置客户端认证参数(注意替换token)
kubectl config set-credentials kubelet-bootstrap \
--token=0b1bd95b94caa5534d1d4a7318d51b0e\
--kubeconfig=bootstrap.kubeconfig
#设置上下文
kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig
#选择上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
mkdir -p /var/lib/kubelet
mkdir -p /etc/kubernetes
mkdir -p /etc/cni/net.d
#将刚生成的文件移动到合适的位置
mv bootstrap.kubeconfig /etc/kubernetes/复制代码
准备cni配置(102,103工做节点)
copy配置
cp ~/kubernetes-starter/target/worker-node/10-calico.conf /etc/cni/net.d/复制代码
kubelet服务
更新服务
cp ~/kubernetes-starter/target/worker-node/kubelet.service /lib/systemd/system/
systemctl daemon-reload
service kubelet start复制代码
** 登陆101主节点输入命令查看状态
kubectl get csr
#启动kubelet以后到master节点容许worker加入(批准worker的tls证书请求)
#--------*在主节点执行*---------
kubectl get csr|grep 'Pending' | awk '{print $1}'| xargs kubectl certificate approve
#-----------------------------
#检查日志
journalctl -f -u kubelet复制代码
加入到主节点中。102
103请求加入,102已经加入
kube-proxy(子节点102,103)
准备证书
#proxy证书放在这
mkdir -p /etc/kubernetes/ca/kube-proxy
#准备proxy证书配置 - proxy只需客户端证书,所以证书请求中 hosts 字段能够为空。
#CN 指定该证书的 User 为 system:kube-proxy,预约义的 ClusterRoleBinding system:node-proxy 将User system:kube-proxy 与 Role system:node-proxier 绑定,授予了调用 kube-api-server proxy的相关 API 的权限
cp ~/kubernetes-starter/target/ca/kube-proxy/kube-proxy-csr.json /etc/kubernetes/ca/kube-proxy/
cd /etc/kubernetes/ca/kube-proxy/
#使用根证书(ca.pem)签发calico证书
cfssl gencert \
-ca=/etc/kubernetes/ca/ca.pem \
-ca-key=/etc/kubernetes/ca/ca-key.pem \
-config=/etc/kubernetes/ca/ca-config.json \
-profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
#老铁最终要的是kube-proxy-key.pem和kube-proxy.pem
ls复制代码
生成kube-proxy.kubeconfig配置
#设置集群参数(注意替换ip)
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ca/ca.pem \
--embed-certs=true \
--server=https://192.168.68.101:6443 \
--kubeconfig=kube-proxy.kubeconfig
#置客户端认证参数
kubectl config set-credentials kube-proxy \
--client-certificate=/etc/kubernetes/ca/kube-proxy/kube-proxy.pem \
--client-key=/etc/kubernetes/ca/kube-proxy/kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig
#设置上下文参数
kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig
#选择上下文
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
#移动到合适位置
mv kube-proxy.kubeconfig /etc/kubernetes/kube-proxy.kubeconfig复制代码
kube-proxy服务
启动服务
mkdir -p /var/lib/kube-proxy
cp ~/kubernetes-starter/target/worker-node/kube-proxy.service /lib/systemd/system/
systemctl daemon-reload
#安装依赖软件
yum -y install conntrack
#启动服务
service kube-proxy start
#查看日志
journalctl -f -u kube-proxy复制代码
12. kube-dns
kube-dns有些特别,由于它自己是运行在kubernetes集群中,以kubernetes应用的形式运行。因此它的认证受权方式跟以前的组件都不同。它须要用到service account认证和RBAC受权。 service account认证: 每一个service account都会自动生成本身的secret,用于包含一个ca,token和secret,用于跟api-server认证 RBAC受权: 权限、角色和角色绑定都是kubernetes自动建立好的。老铁只须要建立一个叫作kube-dns的 ServiceAccount便可,官方现有的配置已经把它包含进去了。
准备配置文件
在官方的基础上添加的变量,生成适合老铁咱们集群的配置。直接copy就能够啦
cd ~/kubernetes-starter复制代码
新的配置没有设定api-server。不访问api-server,它是怎么知道每一个服务的cluster ip和pod的endpoints的呢?这就是由于kubernetes在启动每一个服务service的时候会以环境变量的方式把全部服务的ip,端口等信息注入进来。
建立kube-dns(主节点101)
kubectl create -f ~/kubernetes-starter/target/services/kube-dns.yaml
#看看启动是否成功
kubectl -n kube-system get pods复制代码
PS:终于,安全版的kubernetes集群部署完成了。 涉及到的细节也很是多,就这都对了两篇博文了,若是每一个配置都详细解释估计得写本书了。从入门的角度了解认证和受权。 下面老铁们使用新集群先温习一下以前学习过的命令,而后再认识一些新的命令,新的参数,新的功能。
相关文章
- 1. 『高级篇』docker之kubernetes理解认证、授权(37)
- 2. Kubernetes(k8s) docker集群搭建
- 3. Docker & kubernetes(k8s) 集群搭建
- 4. kubernetes容器集群 - HTTPS认证和受权机制学习
- 5. kubernetes集群的认证、受权、准入控制
- 6. [K8S] 认证集群搭建
- 7. CentOS7下搭建Kubernetes集群
- 8. 『高级篇』docker之kubernetes基础集群附加功能kube-proxy和kube-dns(36)
- 9. mongodb集群Replica Set +Sharding高可用集群搭建(含认证)
- 10. Kubernetes集群搭建之Etcd集群配置篇
- 更多相关文章...
- • Swarm 集群管理 - Docker教程
- • XML DOM 高级 - XML 教程
- • Docker容器实战(八) - 漫谈 Kubernetes 的本质
- • Docker容器实战(七) - 容器眼光下的文件系统
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 『高级篇』docker之kubernetes理解认证、授权(37)
- 2. Kubernetes(k8s) docker集群搭建
- 3. Docker & kubernetes(k8s) 集群搭建
- 4. kubernetes容器集群 - HTTPS认证和受权机制学习
- 5. kubernetes集群的认证、受权、准入控制
- 6. [K8S] 认证集群搭建
- 7. CentOS7下搭建Kubernetes集群
- 8. 『高级篇』docker之kubernetes基础集群附加功能kube-proxy和kube-dns(36)
- 9. mongodb集群Replica Set +Sharding高可用集群搭建(含认证)
- 10. Kubernetes集群搭建之Etcd集群配置篇