K8s集群证书的常见使用场景实践

【业务场景及诉求】

1. 用户自己安装了普罗米修斯之后，想从集群的10255端口采集监控数据

2. 用户需要有特殊诉求，想通过集群vip地址调用k8s集群原生接口

【配置方法】：

获取证书

可以参考文档链接：https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html

注意：

l  下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。

l  建议将下载的3个证书放在/etc/pki/下面，自定义一个文件夹（linux证书一般/etc/pki下面，用户也可以自定义路径）

命令如下：mkdir /etc/pki/cluster-auth

              mv client.key  client.crt  ca.crt  /etc/pki/cluster-auth

l  访问时证书路径必须是绝对路径，否则会报401。

l  如果集群版本是1.13版本以下的，需要加入-k参数，否则调用异常：

集群版本查看命令：kubelet –version

1.13版本以下的格式如下:

curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key  https://IP:Port/  -k

场景一：

调用节点10255接口采集监控信息如下：

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://ip:10255/url

ip：需要采集的节点eth0网卡的ip，在节点上可用 ifconfig eth0查看

url：默认是/metrics接口

验证：

调用节点10255接口采集监控如下：

场景二：

使用k8s vip地址调用k8s原生接口如下

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://vip:5443/url

vip：对应的是master节点的vip地址，获取方式可以参考文档：https://support.huaweicloud.com/usermanual-cce/cce_01_0107.html

文档第二步，如下图：

url：获取请参照开源k8s社区，这里仅提供一个参考连接：https://kubernetes.io/docs/reference/using-api/api-concepts/

调用原生接口：