2. 程式人生 > 其它 >k8s 的admission webhook 部署在叢集外,如何建立ssl 檔案

k8s 的admission webhook 部署在叢集外,如何建立ssl 檔案

阿新 發佈:2021-01-19

技術標籤:k8sk8skubernetesdockerssl

背景

一般情況下,對於webhook服務都是部署在k8s的叢集內部的,但是我們這邊有需要,需要部署在叢集外面的物理機上,但是在MutatingWebhookConfiguration 裡面只能配置https,所以需要自己簽發證書。整個過程還是踩了坑。把過程記錄下來。照著做肯定能成功。

安裝cfssl

這個就不放具體的方法了,Google搜尋一下。安裝後執行一下命令 cfssl version 如果能正常顯示如下,就代表安裝好了

Version: 1.4.1
Runtime: go1.13.4

使用如下命令,照著做

  1. 建立ca-csr.json 檔案, 根據自己的需求改
{
    "CN": "webhook",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI"
 
,
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 建立webhook-csr.json 檔案, 根據自己修改,
{
    "CN": "webhook",
        "hosts": [
      "webhook.default.svc",
      "test-a13-docker-60-98", # 你需要將webhook服務部署對應的物理機的host 或者ip 
          "localhost"
 
,
          "kubernetes",
          "kubernetes.default",
          "kubernetes.default.svc",
          "kubernetes.default.svc.cluster",
          "kubernetes.default.svc.cluster.local"
        ],

    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI",
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 用cfssl 建立預設ca-config.json,執行命令如下。
 cfssl print-defaults config > ca-config.json
  1. 用如下命令,生成ca ,根證書
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
  1. 用如下命令,生成webhook 證書
cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=www \
  webhook-csr.json | cfssljson -bare webhook
  1. 所有的執行完的結果如下,可以參考一下
    在這裡插入圖片描述
    如果你發現你創建出來的結果和我的一致,那基本就沒問題了,我們接下來講一下,生成的檔案用在什麼地方。

TlsConfig 程式碼裡面如果使用

  • config.TlsCertFile 就是我們生成的webhook.pem 檔案
  • config.TlsPrivateKeyFile 就是我們生成的webhook-key.pem
func newWebhookServer(config *config.Config)(*webHookServer,error) {
	tlsCertKey, err := tls.LoadX509KeyPair(config.TlsCertFile,config.TlsPrivateKeyFile)
	if err != nil {
		return nil,err
	}
	clientSet, err := GetKubernetesClient(config)
	ws := &webHookServer{
		server: &http.Server{
			Addr: fmt.Sprintf(":%v",config.Port),
			TLSConfig: &tls.Config{Certificates: []tls.Certificate{tlsCertKey}},
		},
	}

MutatingWebhookConfiguration 裡面如何配置

如何獲取caBundle,通過如下命令獲取, 將ca.pem 檔案進行base64的 encode

cat  ca.pem | base64 | tr -d '\n'

kind: MutatingWebhookConfiguration
metadata:
  name: mutating-webhook-nickname-cfg
  labels:
    app: nickname-webhook
webhooks:
  - name: nickname.ximalaya.com
    clientConfig:
      url: "https://host:12105/mutating"
      caBundle: "YourBundle"
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["core",""]
        apiVersions: ["v1"]
        resources: ["pods"]

類似問題如何處理

理論上按照上面的流程規範執行,應該是準確無誤的,一點可以跑起來。如果遇到有問題。可以看看是不是和下面的類似
檢視kube-apiserver 的日誌

x509: certificate specifies an incompatible key usage

這種問題是執行看第5條。選擇profile的時候沒選擇對。profile對應的許可權在default的ca-config.json裡面

http: server gave HTTP response to HTTPS client

這種問題是你配置的webhook的埠或者ip有問題導致的

反正apiserver裡面返回的x509的問題,都是和ssl 有關係。

相關推薦

k8sadmission webhook 部署集外如何建立ssl 檔案

技術標籤:k8sk8skubernetesdockerssl 背景 一般情況下對於webhook服務都是部署k8s的叢集內部的但是我們這邊有需要需要部署在叢集外面的物理機上但是在MutatingWebhookConfiguration 裡面只能配置http

Jenkins master位於k8s集外實現jenkins slave的動態構建

一、簡述 Jenkins基於\"kubernetes plugin\"與k8s整合可以使Jenkins slave以pod的形式在k8s叢集內部動態構建、執行、銷燬等。

docker+k8s零停機部署剛從阿里、頭條面試回來

分享第一份Java基礎-中級-高階面試集合 Java基礎(物件+執行緒+字元+介面+變數+異常+方法)

k8s學習記錄【進階篇】建立NAS或NFS型別的PV和HostPath型別的PV(二十四)

1、建立NAS/NFS型別的PV 官方示例 apiVersion: v1 kind: PersistentVolume metadata: name: pv-nfs spec:

k8s兩種部署架構你們是哪一種?為什麼面試官會問你你們怎麼部署微服務的呢?

k8s部署的兩種策略-[公粽號:堆疊future] 原文 乾貨: domain+slb+ingress+svc+pod 模式 gateway+registry+pod 模式

還在因為部署 Kubernetes 時無法拉取 k8s.gcr.io/*** 映象而頭疼嗎

拉取外網 Kubernetes 映象 還在因為部署 Kubernetes 時無法拉取 k8s.gcr.io/*** 映象而頭疼嗎?

Python 多執行緒threading模組建立子執行緒的兩種方式示例

本文例項講述了Python 多執行緒threading模組建立子執行緒的兩種方式。分享給大家供大家參考具體如下:

sqlite資料庫常用sql語句建立新增列隨機數random自增預設值。

sqlite> create table bird (id integer primary key autoincrement not null,swing int);//建立一個新表id是整數自增和主鍵。

05 . k8s實戰之部署PHP/JAVA網站

傳統部署k8s部署區別 通常使用傳統的部署的時候我們一個web專案網站的搭建往往使用的如下的一種整體架構可能有的公司在某一環節使用的東西是不一樣但是大體的框架流程是都是差不多的

Spring Boot入門系列(十七)整合Mybatis建立自定義mapper 實現多表關聯查詢!

之前講了Springboot整合Mybatis介紹瞭如何自動生成pojo實體類、mapper類和對應的mapper.xml 檔案,並實現最基本的增刪改查功能。mybatis 外掛自動生成的mapper 實現了大部分基本、通用的方法如:insert、update、

Linux伺服器部署javaweb專案從環境配置到最終執行

最近公司需要做一個java專案交給了我這個稍微有點寫java程式碼但是從沒有寫過完整java專案的安卓程式猿。一邊學一邊寫最後至少一個簡單的專案還是被我摳出來了然而專案程式碼一直是在自己電腦上除錯執

用Helm部署Kubernetes應用支援多環境部署與版本回滾

1 前言 Helm是優秀的基於Kubernetes的包管理器。利用Helm可以快速安裝常用的Kubernetes應用可以針對同一個應用快速部署多套環境還可以實現運維人員與開發人員的職責分離。現在讓我們安裝並體現一下如何通過H

openGL 學習筆記 (一) 瞭解 OpenGL建立第一個OpenGL視窗

// 序章最開始我以為OpenGL是一系列的API他給出了一系列對計算機影象的操作介面。但其實OpenGL其實並不是一個API他是由khronos組織制定並維護的規範。

20200720記錄:部署LNMP環境構建LNMP平臺地址重寫

1 案例1:部署LNMP環境 1.1 問題 安裝部署Nginx、MariaDB、PHP環境 安裝部署Nginx、MariaDB、PHP、PHP-FPM;

總結建構函式建立物件以及類的實現

要總結這些從問幾個問題開始。 一什麼是類? “類”這個概念是面向物件(Object-OrientedOO)的語言都有的一個標誌通過“類”可以建立任意多個具有相同屬性和方法的物件。“類&r

20200726記錄:部署Tomcat伺服器使用Tomcat部署虛擬主機使用Varnish加速Web

--------------------- 1 案例1:安裝部署Tomcat伺服器 1.1 問題 本案例要求部署Tomcat伺服器具體要求如下:

SpringBoot學習建立一個簡單的SpringBoot專案修改Tomcat預設埠和訪問路徑

建立一個簡單的SpringBoot專案 1. 使用IDEA新建一個Maven專案 2.在pom.xml新增SpringBoot的相關依賴

IDEA建立Java類時自動配置註釋(作者建立時間版本等)

1首先開啟idea設定file->settings 2,如圖 想要什麼樣的配置直接在設定中新增程式碼即可

docker部署nginx配置SSL證書實現https

一、拉映象 #docker pull nginx 二、建立並啟動容器 docker run -p 8443:443 --name nginx8443 \\

MySQL建立SSL連線問題設定useSSL=false顯式禁用SSL或者設定useSSL=true

You need either to explicitly disable SSL by setting useSSL=false, or set useSSL=true and provide truststore for server certificate verification.