アウトライン
二つ目の前に導入され、kubernetesの認証と承認
kubernetesでは、我々は、おそらくどのような情報APIサーバーへの訪問が含まれますか?簡単に言えば、それはrestfuleスタイルのインターフェイスは、操作上の操作を実行したユーザーです。対象 - >アクション - >オブジェクト
- したがって、我々はまた、この方法を中心に展開を定義するために許可されている、と私たちは、すべてのユーザーが自由に私たちのK8Sを訪問することができます許可することはできません
- だから我々は、最初は、すなわちTLSは、当然のことながら、第三の方法認証、口座番号とパスワード(ユーザー/ passwdの)があり、これを、トークンと呼ばれると呼ばれる証明書認証され、2つの認証モードを、認証の話それについて話しました方法はほとんど使用されません。ハイライトは、認定をTLS、および内部アカウントkubectlに、いわゆる証明書ベースのアクセスを構築することが、我々はまた、自分自身を構築しましたが、ここでは説明する必要があり、我々は、ユーザーアカウントの2種類を持っているということであるに存在ものの(UserAccountのと呼ばれる最初のクラス知られている上K8Sしかし、我々はそれを分ける作成する必要はありません、それは)どうかトークンまたはTLSユーザ認証を通して、彼は彼がどのようなユーザーがどのようなユーザーで終了したと主張した後、ちょうど対応するユーザーのアイデンティティだし、第二のクラスは、ServiceAccountと呼ばれ、 SA
やり方許可RBAC
- 役割、rolebinding、clusterrole、clusterrolebinding:それは4つの標準リソースを持っています
- 約主題カテゴリの認可ボディ、ユーザ(利用者)と呼ばれる最初のカテゴリ、グループ(グループ)と呼ばれる第二のクラスとして使用することができ、第三のカテゴリーはserviceaccount呼ばれ
- resouce_groupリソース非資源URL:当社K8Sのリソースオブジェクトの3つのタイプがあります。
- deletecollectionなど、そこに、取得リスト、時計、パス、削除されています。私たちは、操作がどのオブジェクト上で実行することができますので、次のステップは、アクションが何であるかを定義する役割やclusterroleオン
- rolebindingまたはclusterrolebindingは対象を示し、またはロールを指定し、clusterroleを結ぶ方法です
計器盤
これまでkubectl kubernetesを使用したりKUBEプロキシを使用されているか、私たちは、当社の中核kubernetesアクセサリー(アドオン)とダッシュボードのAPI K8Sを要求するために、コマンドライン上でcurlコマンドを使用しますが存在し、それが我々のシステムのデフォルトのインストールです自動的corednsと呼ばれる付属品をインストール、corednsは、名前解決とサービスの発見として非常に重要な資格情報です。以前のバージョンでは1.10と我々はそれがより複雑な許可チェックを持っている、と私たちは、インターネット上の伝統的なオープンアクセスを見る方法は大きくはありませんKUBE-ダッシュボードを展開する行ったときには1.8の後、KUBE-dnを使用していますkubeadmのデフォルトのインストールK8SクラスタがRBACを有効にすると、そのインターフェイスは、クラスタ全体のK8Sを管理するためのインタフェースであるdashbordすることは必須であるため、いくつかのサポートは、私たちは、最終的な展開の面でそれを置くので、彼は、認証と管理を実現していません自己認証はフロントそれだけK8Sクラスタだと考えることができ、それがあなたの口座番号とパスワードを入力しdashbord着陸さK8S以上でなければならないアカウントとパスワード、およびダッシュボード自体が独自の認証とは何の関係もありませんK8Sそれは認定機関である、すべてのアカウントがK8Sのアカウントにする必要があり、すべてのライセンスは、すべてのK8S上で承認する必要があります
私たちはオンラインのコンフィギュレーション・リストを使用して最初のダッシュボードを展開し、それはイメージ定義をダウンロードするようになります
ミラープル
ドッキングウィンドウプルmirrorgooglecontainers / kubernetes-ダッシュボード-AMD64:v1.10.1
再タグ付け
タグmirrorgooglecontainers / kubernetes-ダッシュボード-AMD64:v1.10.1 k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1
不要なミラーを削除します。
ドッキングウィンドウRMI mirrorgooglecontainers / kubernetes-ダッシュボード-AMD64:v1.10.1
ダッシュボードを展開
適用kubectl -f https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml
通常のインストールが成功した場合、通常のスタートかどうかを確認するにはPODのダッシュボード
kubectl GETポッド--namespace = KUBE-システム