K8s集群证书的常见使用场景实践
【业务场景及诉求】
1. 用户自己安装了普罗米修斯之后,想从集群的10255端口采集监控数据
2. 用户需要有特殊诉求,想通过集群vip地址调用k8s集群原生接口
【配置方法】:
获取证书
可以参考文档链接:https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html
注意:
l 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
l 建议将下载的3个证书放在/etc/pki/下面,自定义一个文件夹(linux证书一般/etc/pki下面,用户也可以自定义路径)
命令如下:mkdir /etc/pki/cluster-auth
mv client.key client.crt ca.crt /etc/pki/cluster-auth
l 访问时证书路径必须是绝对路径,否则会报401。
l 如果集群版本是1.13版本以下的,需要加入-k参数,否则调用异常:
集群版本查看命令:kubelet –version
1.13版本以下的格式如下:
curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key https://IP:Port/ -k
场景一:
调用节点10255接口采集监控信息如下:
curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key https://ip:10255/url
ip:需要采集的节点eth0网卡的ip,在节点上可用 ifconfig eth0查看
url:默认是/metrics接口
验证:
调用节点10255接口采集监控如下:
场景二:
使用k8s vip地址调用k8s原生接口如下
curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key https://vip:5443/url
vip:对应的是master节点的vip地址,获取方式可以参考文档:https://support.huaweicloud.com/usermanual-cce/cce_01_0107.html
文档第二步,如下图:
url:获取请参照开源k8s社区,这里仅提供一个参考连接:https://kubernetes.io/docs/reference/using-api/api-concepts/
调用原生接口:
- 点赞
- 收藏
- 关注作者
评论(0)