k8s 1.28 聚合层部署信息记录

最新推荐文章于 2025-03-04 17:37:04 发布
最新推荐文章于 2025-03-04 17:37:04 发布
阅读量950 收藏 18
点赞数 18
分类专栏: K8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43292394/article/details/144129310
版权

–requestheader-client-ca-file=
–requestheader-allowed-names=front-proxy-client
–requestheader-extra-headers-prefix=X-Remote-Extra-
–requestheader-group-headers=X-Remote-Group
–requestheader-username-headers=X-Remote-User
–proxy-client-cert-file=
–proxy-client-key-file=

允许聚合层使用apiserver的参数配置
–requestheader-allowed-names=aggregator
–requestheader-client-ca-file=/etc/kubernetes/ssl/ca.pem
–requestheader-extra-header-prefix=X-Remote-Extra-
–requestheader-group-headers=X-Remote-Group
–requestheader-username-headers=X-Remote-User
–proxy-client-cert-file=/etc/kubernetes/ssl/metrics-server.pem
–proxy-client-key-file=/etc/kubernetes/ssl/metrics-server-key.pem
#如果没有在运行api服务器的主机上运行kube-proxy,则需要运行此项。
–enable-aggregator-routing=true

–proxy-client-key-file
–proxy-client-cert-file
–requestheader-client-ca-file
–requestheader-allowed-names

K8s Aggregation Layer 的要求

通过 --proxy-client-key-file 指定私钥文件

通过 --proxy-client-cert-file 指定签名客户端证书文件

通过 --requestheader-client-ca-file 指定签署客户端证书文件的 CA 的证书

通过 --requestheader-allowed-names 指定签名客户端证书中的有效通用名称值 (CNs),如果该值为"",为空,则任何CN名称都是可以接收的

Kubernetes apiserver 将使用 --proxy-client-*-file 指定的文件来对扩展 apiserver 进行身份验证。为了使请求被合规的扩展 apiserver 视为有效,必须满足以下条件:

连接必须使用由 --requestheader-client-ca-file 中的 CA 签署的客户端证书进行。
连接必须使用其 CN 是 --requestheader-allowed-names 中列出的名称之一的客户端证书进行。
注意:您可以将此选项设置为空,如 --requestheader-allowed-names=“”。这将向扩展 apiserver 指示任何 CN 都是可以接受的。

当使用这些选项启动时,Kubernetes apiserver 将会:

使用它们对扩展 apiserver 进行身份验证。
在 kube-system 命名空间中创建一个名为 extension-apiserver-authentication 的 configmap,在其中放置 CA 证书和允许的 CN。这些信息可以被扩展 apiservers 用于验证请求。
请注意,Kubernetes apiserver 使用相同的客户端证书对所有扩展 apiservers 进行身份验证。它不会为每个扩展 apiserver 创建一个客户端证书,而是创建一个用于作为 Kubernetes apiserver 进行身份验证的单一客户端证书。这个证书在所有扩展 apiserver 请求中重复使用。

原始请求的用户名和组
当 Kubernetes apiserver 将请求代理到扩展 apiserver 时,它会通知扩展 apiserver 原始请求成功身份验证的用户名和组。它通过代理请求的 HTTP 头部提供这些信息。你必须告知 Kubernetes apiserver 要使用的头部名称。

通过 --requestheader-username-headers 存储用户名的头部
通过 --requestheader-group-headers 存储组的头部
通过 --requestheader-extra-headers-prefix 附加到所有额外头部的前缀
这些头部名称也被放置在 extension-apiserver-authentication configmap 中,以便扩展 apiservers 可以检索和使用。

CA 重用和冲突

Kubernetes apiserver 有两个客户端 CA 选项:

–client-ca-file

–requestheader-client-ca-file

这两个选项是独立工作的,如果使用不当,可能会互相冲突。

–client-ca-file:当请求到达 Kubernetes apiserver 时,如果启用了此选项,Kubernetes apiserver 将检查请求的证书。如果该证书是由 --client-ca-file 所引用文件中的 CA 证书之一签署的,则该请求被视为合法请求,用户的值为公用名称 CN=,组则为组织 O=。请参阅有关 TLS 身份验证的文档。

–requestheader-client-ca-file:当请求到达 Kubernetes apiserver 时,如果启用了此选项,Kubernetes apiserver 将检查请求的证书。如果该证书是由 --requestheader-client-ca-file 所引用文件中的 CA 证书之一签署的,则该请求被视为潜在的合法请求。随后,Kubernetes apiserver 会检查公用名称 CN= 是否在 --requestheader-allowed-names 提供的名称列表中。如果该名称被允许,则请求被批准;如果不被允许,则请求不被批准。

如果同时提供 --client-ca-file 和 --requestheader-client-ca-file,则请求首先检查 --requestheader-client-ca-file 的 CA,然后再检查 --client-ca-file。通常,这两个选项会使用不同的 CA,可能是根 CA 或中间 CA;常规客户端请求与 --client-ca-file 匹配,而聚合请求则与 --requestheader-client-ca-file 匹配。然而,如果两者使用相同的 CA,那么通常会通过 --client-ca-file 通过的客户端请求将失败,因为 CA 将匹配 --requestheader-client-ca-file 中的 CA,但公用名称 CN= 将不会与 --requestheader-allowed-names 中的一个可接受公用名称匹配。这可能导致您的 kubelet 和其他控制平面组件,以及最终用户无法认证到 Kubernetes apiserver。

因此,对于 --client-ca-file 选项(用于授权控制平面组件和最终用户)和 --requestheader-client-ca-file 选项(用于授权聚合 apiserver 请求),请使用不同的 CA 证书。

不认证kubelet的ssl证书:
–kubelet-insecure-tls
非安全的认证方式,一般不推荐,测试环境可以:

kubelet:
  anonymousAuth: true
  authorizationMode: AlwaysAllow

安全认证的方式,生成环境kubelet配置方式:

kubelet:
  anonymousAuth: false
  authenticationTokenWebhook: true #必须开启
  authorizationMode: Webhook

k8s源码分析-Apiserver-1】理解 apiserver 的结构(AggregatorServer、KubeAPIServer、ApiExtensionsServer)
叮当猫的喵i
12-06 998
Prometheus 项目与Kubernetes项目一样,也来自于 Google 的Borg体系,它的原型系统,叫作 BorgMon,是一个几乎与 Borg 同时诞生的内部监控系统。而 Prometheus 项目的发起原因也跟 Kubernetes 很类似,都是希望通过对用户更友好的方式,将 Google 内部系统的设计理念,传递给用户和开发者。作为一个监控系统,Prometheus 项目的作用和工作方式,其实可以用如下所示的一张官方示意图来解释。可以看到,Prometheus 项目工作的核心,是。
Kubernetes 运维工程师必备:K8s 基础面试题精编(二)
jks212454的博客
07-10 531
Kubernetes 运维工程师必备:K8s 基础面试题精编(二)
使用Aggregated APIServer扩展你的kubernetes API
期待幸福
06-22 882
Kubernetes apiserver aggregation AA 是Kubernetes提供的一种扩展API的方法,目前并没有GA众所周知,kubernetes扩展API的方法大概为三种:CRD、AA、手动扩展源码。根据CNCF分享中Min Kim说的AA更关注于实践,而用户无需了解底的原理,这里使用过 , 的用户是很能体会到这点。官方也给出了CRD与AA的区别要想很好的使用AA,就需要对kubernetes与 AA 之间认证机制进行有一定的了解,这里涉及到一些概念在下面的说明中,所有出现的API
K8S学习心得 == kube-controller-manager 报错configmaps "extension-apiserver-authentication" is forbidden: U...
weixin_30640291的博客
05-25 2175
当我按照教材设置证书,配置好kube-controller的相关条件后,启动kube-controller-manage组件,却意外报错。 一、基本信息如下: 1. kube-controller-manager.service 文件如下 [Unit]Description=kubernetes controller-manager serviceAfter=n...
Centos7二进制部署k8s-v1.20.2 ipvs版本(Metrics-Server服务)
人走茶良的博客
09-08 491
一、安装部署 1、介绍 heapster已经被metrics-server取代,如果使用kubernetes的自动扩容功能的话,那首先得有一个插件,然后该插件将收集到的信息(cpu、memory…)与自动扩容的设置的值进行比对,自动调整pod数量。关于该插件,在kubernetes的早些版本中采用的是heapster,1.13版本正式发布后,丢弃了heapster,官方推荐采用metrics-sever。 2、下载相关yaml文件 https://github.com/kubernetes-incuba
带你玩转kubernetes-k8s(第54篇-Kubernetes之使用API聚合机制扩展API资源)
坚持的道路注定孤独
09-01 4015
API聚合机制是Kubernetes 1.7版本引入的特性,能够将用户扩展的API注册到kube-apiserver上,仍然通过API Server的HTTP URL对新的API进行访问和操作。为了实现这个机制,Kuberneteskube-apiserver服务中引入了一个API聚合(API Aggregation Layer),用于将扩展API的访问请求转发到用户服务的功能。 设计API...
K8s高可用集群二进制部署-V1.20
架构师小吴的博客
06-24 1463
Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。
anolis8.9-k8s1.30-master集群-二进制部署
tingting0119的博客
03-04 1059
在anolis8.9上安装k8s-1.30.2的master集群,采用二进制方式部署
k8s---Metrics-Server与Dashboard
qq_45737059的博客
11-03 418
Metrics-Server Metrics-Server是集群核心监控数据的聚合器,用来替换之前的heapster。容器相关的 Metrics 主要来自于 kubelet 内置的 cAdvisor 服务,有了Metrics-Server之后,用户就可以通过标准的 Kubernetes API 来访问到这些监控数据。 Metrics Server 并不是 kube-apiserver 的一部分,而是通过 Aggregator 这种插件机制,在独立部署的情况下同 kube-apiserver 一起统一对外
Kubernetes API Aggregator 是什么
wangzan18的博客
02-27 1771
一、什么是 Aggregated API Server 1.1、概述 Aggregated(聚合的)API server 是为了将原来的 API server 这个巨石(monolithic)应用给拆分开,为了方便用户开发自己的 API server 集成进来,而不用直接修改 Kubernetes 官方仓库的代码,这样一来也能将 API server 解耦,方便用户使用实验特性。这些 API se...
30.kubernetes 聚合
sirius
07-08 864
30.kubernetes 聚合 说明: 下文涉及到kube-apiserver则代表的是master节点的apiserver服务 一、简述 聚合(Aggregation Layer)可以让用户通过额外的 API 来扩展 kubernetes,这些 API 作为Kubernetes 核心API的补充,以基于具体需求来扩展功能。 聚合kube-apiserver进程内运行,API扩展资源注册前,聚合不会做任何事。注册API时,需添加一个APIServer资源对象,该APIServer对象“申领”
完整部署一套k8s-v.1.28.0版本的集群
GGB_GG的博客
03-27 3156
2.1、所有节点修改防火墙,本次是实验环境,图省事选择关闭防火墙,如果是生产,除非做了公网和内网隔离,还是别关闭吧,做好相关接口开发就行。3.3、配置 systemd cgroup 驱动 在 /etc/containerd/config.toml 中设置。如果遇到的情况是命令卡住不动,大概率是token过期了,回到master节点,执行。创建新的token,替换后重新执行就行 现在可以看到master节点和子节点了。5.2、安装kubeadm、kubelet、kubectl。
K8s安装部署(v1.28--超详细(cri-docker作为运行时)
oopxiajun博客专栏
09-24 2845
ip角色系统主机名cpumemmastercentos7.9k8smaster48node1centos7.9k8snode148node2centos7.9k8snode248node3centos7.9k8snode348。
[kubernetes] 证书详细总结
摩登都市天空---专栏
09-23 5931
目录 一 证书简介 二 证书类型分类 三 证书说明 四 TLSbootstrapping简化kubelet证书制作 五 证书制作步骤 1 创建CA证书 2 创建K8S证书 2.1. 创建kubernetes证书 2.2 创建kube-controller-manager证书 2.3 创建kube-scheduler证书 3 创建ADMIN证书 4 创建ETC...
Easypack: Kubernetes 1.17.2 设定选项更新:ApiServer
知行合一 止于至善
02-01 6226
以目前最新的稳定版本1.17.2,总结更新ApiServer相关设定选项。
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9475
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
kubernetes扩展apiserver实现分析
Qinng的博客
04-25 1886
Kubernetes提供了丰富的扩展功能,如果需要实现自定义的资源,通过有两种方式CRD与Aggregation API。相对于CRD扩展API功能更丰富,可以实现单独的存储。今天来聊一聊,k8s是如果实现扩展api,它们直接又是如何协作的。 AggregationApiserver介绍 Aggregator类似于一个七负载均衡,将来自用户的请求拦截转发给其他服务器,并且负责整个 APIServ...
kubernetes二进制部署k8s-master集群controller-manager服务unhealthy问题
li123128的博客
12-29 7366
  一.问题现象      我们使用二进制部署k8s的高可用集群时,在部署多master时,kube-controller-manager服务提示Unhealthy      [root@ceph-01 system]# kubectl get cs      NAME                 STATUS      MESSAGE                             ...
k8s1.28版本部署
最新发布
03-16
### Kubernetes 1.28 部署指南 #### 准备工作 在正式部署 Kubernetes 1.28 前,需确认环境满足最低硬件和软件需求。建议检查操作系统支持情况以及容器运行时的兼容性[^2]。 #### 升级路径规划 对于现有集群升级至 Kubernetes 1.28,应先验证当前使用的插件和服务是否与目标版本完全兼容。具体操作可参照 Amazon EKS 提供的相关文档中的兼容性检查部分[^1]。 #### 安装步骤概述 以下是基于标准流程安装 Kubernetes 1.28 的方法: 1. **下载二进制文件** 下载适用于您系统的 kubeadm、kubelet 和kubectl 工具最新稳定版。 ```bash curl -LO https://dl.k8s.io/release/v1.28.0/bin/linux/amd64/kubectl chmod +x ./kubectl && sudo mv ./kubectl /usr/local/bin/kubectl curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.28.0/bin/linux/amd64/kubelet chmod +x kubelet && sudo mv kubelet /usr/local/bin/kubelet ``` 2. **初始化控制平面节点** 使用 `kubeadm init` 初始化命令创建一个新的集群实例,并指定所需的配置选项。 ```bash sudo kubeadm init --pod-network-cidr=10.244.0.0/16 --control-plane-endpoint="LOAD_BALANCER_DNS:PORT" ``` 3. **设置网络附加组件** 应用 Flannel 或 Calico 网络解决方案来实现 Pod间通信功能。 ```yaml kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml ``` 4. **加入工作节点** 将额外的工作节点添加到已建立好的主控单元上完成整个分布式架构搭建过程。 ```bash kubeadm join <master-ip>:<master-port> --token <token> --discovery-token-ca-cert-hash sha256:<hash> ``` 以上即为完整的 Kubernetes 1.28 初次部署指导方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值