【K8S运维知识汇总】第4天5:k8s仪表盘鉴权方式详解
现在去创建证书,要去运维主机
现在去创建证书,要去运维主机
cfssl可能更加简单些,现在用openssl试试,先去创建dashboard网站的私钥,权限是600,私钥弄出来,加密算法用2048位
第二步用openssl做证书签发的请求文件csr,-subj主题,要给这个域签发,cn就必须对应域名,之前对k8s签发的时候,都是对于k8s组件的名字,或者是对应集群角色
创建了证书签发的请求文件csr
用openssl去签发证书,,-CA 指定ca,-out是真正要配置在nginx里的证书,days时间给个10年
一个证书一个私钥
用cfssl查一下证书
这些证书和私钥只需要拷贝到nginx里
这里把所有od.com的域全都引到了traefik的ingress控制器
现在有特殊需求,dashboard.od.com域,要走443,走https,直接抛到ingress,必须在上层负载均衡里把证书里卸载
监听了server_name dashboard.od.com,把所有请求直接rewrite给了https,监听了443端口,server_name依然是dashboard.od.com。
证书地址,在path给 traefike-ingress-controller,就是把证书卸载了,还是用http去请求dashboard
在kube-system里有若干 secret
这就是dashboard令牌
令牌就出来了
如果不成功,可以换成1.10.1的dashboard
换镜像就比较简单了
打标签,push到harbor仓库
改一下版本
到22节点上启动应用也可以直接在dashboard改
就会自己去更新镜像,新的已经起来了
1。10就强制你去登陆
拷贝令牌
这就是1.10的dashboard
更多推荐
所有评论(0)