不安全连接k8s集群

最新推荐文章于 2025-12-03 13:28:35 发布
原创 最新推荐文章于 2025-12-03 13:28:35 发布 · 5.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #linux #docker

当在公司内网环境中尝试使用kubectl访问使用公网IP的k8s集群时,由于证书签发的IP为内网IP,导致证书认证失败。解决方法是在kubectl命令中添加--insecure-skip-tls-verify参数或者修改kubeconfig文件,启用不验证服务器证书。不过,这可能会带来安全隐患。参考链接提供了详细步骤。

背景

我们知道,要能使用kubectl命令操作k8s集权,需要将主节点的.kube/config文件复制到当前机器。并安装kubectl(将二进制文件复制到当前机器即可)。
我们目前使用的环境是云上的环境,和公司内网不通。想要在公司内网机器上访问k8s集群(server的ip信息填写的是公网ip)时,报错如下:

[ucloud@kafka .kube]$ kubectl get ns
Unable to connect to the server: x509: certificate is valid for 127.0.0.1, 10.0.0.1, 10.9.55.132, 10.9.71.11, 10.9.98.182, 10.9.10.72, not ....

原因及解决办法

云主机,k8s证书签名的时候签的是内网ip,并不是eip,外网ip ,所以证书认证失败,跳过证书认证即可

--insecure-skip-tls-verify[=false]

最低0.47元/天 解锁文章
jjt_!!
关注
linux grep cut tr
Neil的博客
02-02 370
[root@k8s-master ~]# kubectl config view apiVersion: v1 clusters: - cluster: certificate-authority-data: DATA+OMITTED server: https://192.168.159.135:6443 name: kubernetes contexts: - co...
kubectl 远程访问内网中的 kubernetes 集群
骑着蜗牛向前跑的博客
10-29 5174
之前自己在三台阿里云服务器上搭建了一套 kubernetes 集群,因为在是在内网中,所以每次部署都要先将 yaml 文件 scp 到 master 服务器上,再自己手动 ssh 到 master 上用 kubectl 执行部署命令,很是方便。网上找了些资料,配置了下kubectl 远程访问内网k8s, 这篇文章记录下配置的细节。 scp 把集群上 kubectl 的配置拷贝到本地电脑。集群中 kubectl 的配置都存放在,~/.kube/config 文件中,将该文件拷贝到本地的~/.kube目录下
k8s dashboard部分浏览器无法访问
漠效的博客
06-19 3168
前言 当我们在配置完成dashboard,想要从浏览器查看的时候,通常会发现除了火狐浏览器。谷歌等大部分的浏览器,都无法进行访问。这种情况,我们可以通过自定义证书的方法,来使其他浏览器可以对dashboard进行访问。 这里就介绍dashboard的配置操作了。 证书生成 创建CA 如果/etc/kubernetes/pki/或其他位置有ca证书,就无需另外生成 openssl genrsa -out ca.key 2048 openssl req -new -x509 -key ca.ke
k8s技术预研5--Kubernetes集群安全设置
watermelonbig的专栏
02-28 1018
一、基于HTTP BASE的简单认证方式各组件与apiserver之间的通信方式仍然采用HTTPS,但使用CA数字证书。建议在生产环境中这样使用。1、配置支持HTTP BASE认证在Master Node上创建/etc/kubernetes/basic_auth文件,文件中每行的格式为password,user,uid,"group1,group2,group3"。 [root@bogon k...
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
weixin_39518516的博客
08-01 2126
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
【CKA考试笔记】十五、安全管理:验证与授权
热门推荐
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
kubectl命令总结
柠是柠檬的檬的博客
08-19 3924
kubectl命令总结
远程连接K8S集群
Blue summer的博客
03-28 5620
远程连接k8s集群
sealos离线安装k8s集群镜像-part3
12-25
Sealos 离线安装 Kubernetes (K8s) 集群是一个特定的部署方式,尤其适用于无法稳定连接互联网的环境。在离线安装过程中,相关的容器镜像需要提前下载到本地并进行配置。本篇主要讲述在离线环境下安装 Kubernetes ...
本地远程连接k8s集群
qq_45754184的博客
05-24 828
为了能使本地能连接k8s集群更好的测试数据库自动更新功能,我在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。3、使用指定的kubeconfig文件来操作集群。2、获取集群的kubeconfig文件。1、首先确保本地已经安装好。
精选资源
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
精选资源
helm部署应用到k8s集群(helm+k8s-详细文档
06-21
helm 部署应用到 k8s 集群详细文档 本文档详细介绍了使用 Helm 部署应用到 Kubernetes 集群的过程。Helm 是一个 Kubernetes 的包管理工具,能够方便地将之前打包好的 YAML 文件部署到 Kubernetes 上。 Helm 有三个...
配置kubectl客户端通过token方式访问kube-apiserver
weixin_33872660的博客
11-13 685
帮助文档 使用的变量 本文档用到的变量定义如下: $ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP $ export KUBE_APISERVER="https://${MASTER_IP}:6443" $ 创建 kubectl config 文件 $ # 设置集群参数 ...
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 5958
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
config kubectl_kubectl config 命令使用说明
weixin_33328213的博客
01-17 4512
kubectl config 命令用来管理kubeconfig文件。一、查找要操作的kubeconfig 文件顺序1、如果使用--kubeconfig选项,则指定的文件为要操作的文件。此选项只能被设置一次,并且会合并其他文件。2、如果设置了$KUBECONFIG环境变量,将同时使用此环境变量指定的所有文件列表(使用操作系统默认的顺序),所有文件将被合并。当修改一个值时,将修改设置了该值的文件。当...
k8s(kubernetes)常见故障处理总结——详细文档
qq_34953582的博客
06-21 9625
k8s(kubernetes)常见故障处理总结——详细文档
Kubernetes集群安全配置
大树叶 技术专栏
11-25 4477
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群安全,甚至可以说是“完全设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
冬季安全用电监测案例
最新发布
Jima_的博客
12-03 633
本文介绍了一套针对工厂宿舍用电安全的智能监测系统。系统通过安装DAM-E3501NT采集模块,实时监测各宿舍的用电参数和环境温度,并通过以太网将数据传输至主控室。系统具备高精度测量(0.2%)、过载预警、阈值自动告警等功能,当检测到异常用电(如持续1小时功率>3kW)时可自动报警。该系统采用"感知-分析-预警-控制"的闭环架构,实现从被动防范到主动监测的转变,适用于工厂、教育机构等多种场所的用电安全管理。
k9s连接k8s集群
04-02
### 如何使用 K9s 连接到 Kubernetes (k8s) 集群 要使用 K9s 连接至 Kubernetes 集群,需先完成必要的配置和环境准备。以下是实现这一目标的关键要素: #### 1. 安装 K9s K9s 可以通过多种方式安装,具体取决于操作系统的选择。例如,在 Linux 或 macOS 上可以通过以下命令下载最新版本的二进制文件[^4]。 ```bash curl -sS https://webinstall.dev/k9s | bash ``` 此脚本会自动检测系统的架构并安装适合的 K9s 版本。 #### 2. 配置 kubeconfig 文件 K9s 使用 `kubeconfig` 文件来识别和连接到指定的 Kubernetes 集群。默认情况下,K9s 尝试读取位于 `$HOME/.kube/config` 的 kubeconfig 文件。如果存在多个集群配置,则可以切换当前上下文以指向所需的集群[^3]。 可通过以下命令验证当前 kubeconfig 设置以及可用的上下文列表: ```bash kubectl config get-contexts ``` 设置活动上下文以便 K9s 自动加载该配置: ```bash kubectl config use-context <your-cluster-context> ``` #### 3. 启动 K9s 并访问集群 一旦完成了上述准备工作,启动 K9s 即可进入其终端用户界面(TUI)。执行以下命令即可打开 K9s 应用程序: ```bash k9s ``` 此时,K9s 将尝试基于当前 kubeconfig 中定义的上下文连接到对应的 Kubernetes 集群,并显示资源状态概览页面[^1]。 如果有自定义路径下的 kubeconfig 文件或者需要临时覆盖默认行为,可以在启动时传递 `-c|--kubeconfig` 参数显式指定配置位置: ```bash k9s --kubeconfig=/path/to/custom-kubeconfig.yaml ``` #### 4. 常见问题排查 - 如果无法成功连接,请确认网络连通性和权限是否满足需求。 - 检查 kubeconfig 是否正确无误,尤其是认证证书部分是否存在过期或错误的情况[^5]。 --- ### 示例代码片段 假设有一个名为 `mycluster` 的特定上下文,可以直接通过如下方法激活并与之关联: ```bash kubectl config use-context mycluster && k9s ``` 这一步骤简化了手动切换操作流程,使整个过程更加流畅高效。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值