K8s集群证书常见使用场景实践

网友投稿 557 2022-05-29

【业务场景及诉求】

1. 用户自己安装了普罗米修斯之后,想从集群的10255端口采集监控数据

2. 用户需要有特殊诉求,想通过集群vip地址调用k8s集群原生接口

【配置方法】:

获取证书

可以参考文档链接:https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html

注意:

l  下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。

l  建议将下载的3个证书放在/etc/pki/下面,自定义一个文件夹(linux证书一般/etc/pki下面,用户也可以自定义路径)

命令如下:mkdir /etc/pki/cluster-auth

mv client.key  client.crt  ca.crt  /etc/pki/cluster-auth

l  访问时证书路径必须是绝对路径,否则会报401。

l  如果集群版本是1.13版本以下的,需要加入-k参数,否则调用异常:

集群版本查看命令:kubelet –version

1.13版本以下的格式如下:

curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key  https://IP:Port/  -k

场景一:

调用节点10255接口采集监控信息如下:

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://ip:10255/url

ip:需要采集的节点eth0网卡的ip,在节点上可用 ifconfig eth0查看

url:默认是/metrics接口

验证:

调用节点10255接口采集监控如下:

场景二:

K8s集群证书的常见使用场景实践

使用k8s vip地址调用k8s原生接口如下

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://vip:5443/url

文档第二步,如下图:

url:获取请参照开源k8s社区,这里仅提供一个参考连接:https://kubernetes.io/docs/reference/using-api/api-concepts/

调用原生接口:

其他

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:华为云上搭建ONAP系列(1)
下一篇:鼠标悬停添加遮罩及图标
相关文章