K8s集群证书的常见使用场景实践

【业务场景及诉求】

1. 用户自己安装了普罗米修斯之后，想从集群的10255端口采集监控数据

2. 用户需要有特殊诉求，想通过集群vip地址调用k8s集群原生接口

【配置方法】：

获取证书

可以参考文档链接：https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html

注意：

l  下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。

l  建议将下载的3个证书放在/etc/pki/下面，自定义一个文件夹（linux证书一般/etc/pki下面，用户也可以自定义路径）

命令如下：mkdir /etc/pki/cluster-auth

mv client.key  client.crt  ca.crt  /etc/pki/cluster-auth

l  访问时证书路径必须是绝对路径，否则会报401。

l  如果集群版本是1.13版本以下的，需要加入-k参数，否则调用异常：

集群版本查看命令：kubelet –version

1.13版本以下的格式如下:

curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key  https://IP:Port/  -k

场景一：

调用节点10255接口采集监控信息如下：

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://ip:10255/url

ip：需要采集的节点eth0网卡的ip，在节点上可用 ifconfig eth0查看

url：默认是/metrics接口

验证：

调用节点10255接口采集监控如下：

场景二：

使用k8s vip地址调用k8s原生接口如下

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://vip:5443/url

文档第二步，如下图：

url：获取请参照开源k8s社区，这里仅提供一个参考连接：https://kubernetes.io/docs/reference/using-api/api-concepts/

调用原生接口：

其他

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。