K8s集群证书的常见使用场景实践

举报
云技术搬运工 发表于 2020/09/24 17:17:10 2020/09/24
【摘要】 1. 用户自己安装了普罗米修斯之后,想从集群的10255端口采集监控数据 2. 用户需要有特殊诉求,想通过集群vip地址调用k8s集群原生接口

【业务场景及诉求】

1. 用户自己安装了普罗米修斯之后,想从集群的10255端口采集监控数据

2. 用户需要有特殊诉求,想通过集群vip地址调用k8s集群原生接口


【配置方法】:

获取证书

image.png

可以参考文档链接:https://support.huaweicloud.com/usermanual-cce/cce_01_0175.html

注意:

l  下载的证书包含client.keyclient.crtca.crt三个文件,请妥善保管您的证书,不要泄露。

l  建议将下载的3个证书放在/etc/pki/下面,自定义一个文件夹(linux证书一般/etc/pki下面,用户也可以自定义路径)

命令如下:mkdir /etc/pki/cluster-auth

              mv client.key  client.crt  ca.crt  /etc/pki/cluster-auth

l  访问时证书路径必须是绝对路径,否则会报401。

l  如果集群版本是1.13版本以下的,需要加入-k参数,否则调用异常:

集群版本查看命令:kubelet –version

image.png

1.13版本以下的格式如下:

curl --cacert /etc/pki/cluster-auth/ca.crt --cert /etc/pki/cluster-auth/client.crt --key /etc/pki/cluster-auth/client.key  https://IP:Port/  -k

场景一:

调用节点10255接口采集监控信息如下:

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://ip:10255/url

ip需要采集的节点eth0网卡的ip,在节点上可用 ifconfig eth0查看

image.png

url默认是/metrics接口

验证:

调用节点10255接口采集监控如下:

image.png

 

场景二:

使用k8s vip地址调用k8s原生接口如下

curl --cacert  /etc/pki/cluster-auth/ca.crt  --cert /etc/pki/cluster-auth/client.crt  --key /etc/pki/cluster-auth/client.key   https://vip:5443/url

vip对应的是master节点的vip地址,获取方式可以参考文档:https://support.huaweicloud.com/usermanual-cce/cce_01_0107.html

文档第二步,如下图:

image.png

url获取请参照开源k8s社区,这里仅提供一个参考连接:https://kubernetes.io/docs/reference/using-api/api-concepts/

调用原生接口:

image.png


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。