ssl - 为什么 kubelet 使用 TLS 与 apiserver 通信需要密码？v1.3-6ren

ssl - 为什么 kubelet 使用 TLS 与 apiserver 通信需要密码？v1.3

转载作者：太空宇宙更新时间：2023-11-03 13:52:27

27

4

我在主节点上使用 TLS 部署了 apiserver，它工作正常，当我部署 kubelet 和 tring 与 apiserver 通信时出现了我的问题。kubelet 配置如下:

/opt/bin/kubelet \
  --logtostderr=true \
  --v=0 \
  --api_servers=https://kube-master:6443 \
  --address=0.0.0.0 \
  --port=10250 \
  --allow-privileged=false \
  --tls-cert-file="/var/run/kubernetes/kubelet_client.crt" \
  --tls-private-key-file="/var/run/kubernetes/kubelet_client.key"
  --kubeconfig="/var/lib/kubelet/kubeconfig"

/var/lib/kubelet/kubeconfig 如下:

apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /var/run/kubernetes/kubelet_client.crt
    client-key: /var/run/kubernetes/kubelet_client.key
clusters:
- name: kube-cluster
  cluster:
    certificate-authority: /var/run/kubernetes/ca.crt
contexts:
- context:
    cluster: kube-cluster
    user: kubelet
  name: ctx-kube-system
current-context: ctx-kube-system

因为我想使用双向(客户端和服务器)CA 身份验证实现通信并期望得到一个不可靠的回复，但是 apiserver 要求我提供我以前从未使用过的用户名和密码，一些命令行如下:

> kubectl version
> Client Version: version.Info{Major:"1", Minor:"3", GitVersion:"v1.3.2", GitCommit:"9bafa3400a77c14ee50782bb05f9efc5c91b3185", GitTreeState:"clean", BuildDate:"2016-07-17T18:30:39Z", GoVersion:"go1.6.2", Compiler:"gc", Platform:"linux/amd64"}
> Please enter Username: kubelet
> Please enter Password: kubelet
> error: You must be logged in to the server (the server has asked for the client to provide credentials)

我在 master minion 上尝试了所有这些。有人可以解决这个难题吗？在此先感谢。

最佳答案

您必须通过 apiserver 上的 --client-ca-file 标志启用客户端证书授权。

来自 http://kubernetes.io/docs/admin/authentication/ :

Client certificate authentication is enabled by passing the --client-ca-file=SOMEFILE option to apiserver. The referenced file must contain one or more certificates authorities to use to validate client certificates presented to the apiserver. If a client certificate is presented and verified, the common name of the subject is used as the user name for the request.

来自 http://kubernetes.io/docs/admin/kube-apiserver/ :

--client-ca-file="": If set, any request presenting a client certificate signed by one of the authorities in the client-ca-file is authenticated with an identity corresponding to the CommonName of the client certificate. --cloud-config="": The path to the cloud provider configuration file. Empty string for no configuration file.

关于ssl - 为什么 kubelet 使用 TLS 与 apiserver 通信需要密码？v1.3，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/38593566/

27

4

0

文章推荐： python - 循环搜索字符串直到找到字符串 python

文章推荐： android - 使用 getPrimaryClip() 复制数据给定 { text/plain {NULL} }

文章推荐： java - 您可以使用 java.swing 和 javafx 进行 android 开发吗？

R中的读写管道()通信
大多数语言都支持双向进程通信。例如，在 Python 中，我可以(草率地)执行以下操作: >>> from subprocess import * >>> p = Popen('nslookup',
与arduino的C++通信
致力于使用 C++ 在 arduino 和 PC (Win 7) 之间进行通信。使用 WriteFile 和 ReadFile 创建通信或简单地发送或接收数据没有问题。但是当我想以某种方式“协调”沟通
微服务之间的 Kubernetes 通信
我们正在开发一个基于微服务的应用程序。它们将使用 Helm Package Manager 部署到 kubernetes，并且它们都存储了自己的存储库和 helm chart。以下是我们微服务的名称。
wpf - MVVM:通信
我正在开发一个大型 MVVM 应用程序。我为此使用了 MVVM 轻量级工具包。该应用程序就像一个带有后退和前进按钮的网络浏览器。主视图是一个用户控件。我在主视图用户控件中放置了后退和前进按钮。主视图又
Java - freepascal 通信
我在 java 和 freepascal(lazarus) 应用程序之间的通信有问题。我使用套接字。它们正确连接。一切都很顺利，直到我想从一个应用程序向另一个应用程序发送一些东西。在java而不是“a
c# - 客户端服务器套接字C#通信
我已经使用客户端套接字和服务器套接字使用C#编写了群聊。当我使用VS 2017在自己的PC中运行程序(服务器和客户端)时，客户端和服务器之间的通信工作正常。当我在笔记本电脑中运行客户端程序，并在自
kubernetes - Pod 通信
Kubernetes 中两个不同 Pod 之间的通信是如何发生的？就我而言，我有两个 Pod:前端和后端，它们都有不同的容器。我希望我的前端 pod 与后端 pod 通信，但我不想使用后端 pod
闪存到 C# 通信
我正在尝试在浏览器中嵌入的 flash 实例与在 C# WinForms 应用程序中运行的 flash 实例之间进行通信...我收到一个编译错误，内容为: 1119 Access of possibl
Android - Rails 通信
鉴于网络上缺乏信息，请问一个问题:我要在 Android 中创建一个应用程序，使用一个数据库应用程序 rails 。为此，我需要一个手动 session 。所以如果有人准备好了示例/教程显示通信 an
C# PHP 通信
我正在编写一个应用程序，它将通过 MySQL 数据库对用户进行身份验证。我已经用 Java (android) 编写了它，但现在正在移植到 Windows 手机。 PHP 文件使用 $get 然后回显
两个不同设备上的两个应用程序之间的 Android 通信
是否可以通过互联网在两个不同设备上的两个不同应用程序之间建立通信。我想从设备 A 上的应用程序点击一个设备 B 上的应用程序，然后从设备 B 上的应用程序获取数据到设备 A 上的应用程序。如果可能，如
Javascript-iframe 通信
这是脚本: 它被放置在其他网站上。 com 并显示一个 iframe。如果有人点击 iframe 中的某个内容，脚本应该将一个 div 写入 othersite 。 com. 所以我的问题是如何做到
PHP C++ 通信
你好我是 php 的新手，我用 c++ 编写了整个代码并想在 php 中使用这段代码。所以我为我的代码制作了 dll 以使用它。但是我不能在 php 中使用这个 dll，可以谁能给我完整的代码来使用
对象之间的 C++ 通信
我确定之前已经有人问过(并回答过)此类问题，所以如果是这样，请将我链接到之前的讨论... 在 C++ 中，假设我有一个 ClassA 类型的对象，其中包含一个 ClassB 类型的私有(private
无法建立正确的 RS485 通信
我正在尝试使用 ATmega32 进行串行通信。首先，我使用 RS232，使用 USB-to-RS232 建立使用串行终端的接收和传输(在我的例子中是 tera 术语)。无论我从串行终端 Atmega
Ruby SSL 通信
我找不到适用于 Ruby 的 SSL 实现。我的部分项目需要服务器和客户端之间的安全通信链接，我希望为此使用 SSL 以创建安全 session 。谢谢最佳答案如果你使用 Ruby 1.9.x
Java SSL 通信
我正在尝试在客户端/服务器之间进行 SSL 通信。到目前为止，我已经从 keystore 创建了 java.security.cert.X509Certificate。接下来我应该怎么做才能使这次沟
C++ USB 通信
我在与 Windows 上的 USB 设备通信时遇到问题。我不能使用 libusb 或 WinUSB，因为我有一个特定的驱动程序(Silabs USB 到 UART，这是一个 USB 到串口的桥接器
iPhone TCP 通信
按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
python - 没有xcom的任务之间的 Airflow 通信
我发现 xcom 实际上是将数据写入数据库并从其他任务中提取数据。我的数据集很大，将其腌制并写入数据库会导致一些不必要的延迟。有没有办法在不使用 xcom 的情况下在同一 Airflow Dag 中的

首页

博学

6Ren·AI

商城

ssl - 为什么 kubelet 使用 TLS 与 apiserver 通信需要密码？v1.3