K8s集群證書的常見使用場景實踐

【業務場景及訴求】

1.?用戶自己安裝了普羅米修斯之后，想從集群的10255端口采集監控數據

2. 用戶需要有特殊訴求，想通過集群vip地址調用k8s集群原生接口

【配置方法】：

獲取證書

可以參考文檔鏈接：https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html

注意：

l??下載的證書包含client.key、client.crt、ca.crt三個文件，請妥善保管您的證書，不要泄露。

l??建議將下載的3個證書放在/etc/pki/下面，自定義一個文件夾（linux證書一般/etc/pki下面，用戶也可以自定義路徑）

命令如下：mkdir /etc/pki/cluster-auth

mv client.key? client.crt? ca.crt? /etc/pki/cluster-auth

l??訪問時證書路徑必須是絕對路徑，否則會報401。

l??如果集群版本是1.13版本以下的，需要加入-k參數，否則調用異常：

集群版本查看命令：kubelet –version

1.13版本以下的格式如下:

curl --cacert?/etc/pki/cluster-auth/ca.crt --cert?/etc/pki/cluster-auth/client.crt --key?/etc/pki/cluster-auth/client.key??https://IP:Port/??-k

場景一：

調用節點10255接口采集監控信息如下：

curl --cacert? /etc/pki/cluster-auth/ca.crt? --cert /etc/pki/cluster-auth/client.crt? --key /etc/pki/cluster-auth/client.key???https://ip:10255/url

ip：需要采集的節點eth0網卡的ip，在節點上可用?ifconfig eth0查看

url：默認是/metrics接口

驗證：

調用節點10255接口采集監控如下：

場景二：

使用k8s vip地址調用k8s原生接口如下

curl?--cacert??/etc/pki/cluster-auth/ca.crt ?--cert?/etc/pki/cluster-auth/client.crt ?--key?/etc/pki/cluster-auth/client.key???https://vip:5443/url

文檔第二步，如下圖：

url：獲取請參照開源k8s社區，這里僅提供一個參考連接：https://kubernetes.io/docs/reference/using-api/api-concepts/

調用原生接口：

其他

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。