Vil du lære, hvordan du konfigurerer Kubernetes LDAP-godkendelse i Active Directory? I dette selvstudium skal vi vise dig, hvordan du godkender brugere af Kubernetes Dashboard ved hjælp af Windows Active Directory og LDAP-protokollen.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Dette selvstudium installerer en Kubernetes-klynge med en enkelt node.

I vores eksempel er IP-adressen på Kubernetes master node 192.168.15.200.

I vores eksempel er domænecontrollerens IP-adresse 192.168.15.10.

Kubernetes – Selvstudier

På denne side tilbyder vi hurtig adgang til en liste over tutorials relateret til Kubernetes.

Selvstudium Windows – Firewall til domænecontroller

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Først skal vi oprette en firewallregel på Windows-domænecontrolleren.

Denne firewallregel tillader Kubernetes-serveren at forespørge på Active Directory.

Åbn programmet Windows Firewall med avanceret sikkerhed på domænecontrolleren

Opret en ny indgående firewallregel.

Vælg indstillingen PORT.

Vælg TCP-indstillingen.

Vælg indstillingen Specifikke lokale porte.

Angiv TCP-port 389.

Vælg indstillingen Tillad forbindelsen.

Markér indstillingen DOMÆNE.

Markér indstillingen PRIVAT.

Markér indstillingen OFFENTLIG.

Angiv en beskrivelse af firewallreglen.

Tillykke, du har oprettet den nødvendige firewallregel.

Denne regel tillader Kubernetes-serveren at forespørge på Active Directory-databasen.

Selvstudium Windows – Oprettelse af domænekonto

Dernæst skal vi oprette mindst 2 konti i Active Directory-databasen.

ADMIN-kontoen bruges til at logge på Kubernetes Dashboard.

BIND-kontoen bruges til at forespørge i Active Directory-databasen.

Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren

Opret en ny konto i objektbeholderen Brugere.

Oprette en ny konto med navnet: administrator

Adgangskode konfigureret til ADMIN bruger: 123qwe..

Denne konto vil blive brugt til at godkende på Kubernetes webgrænseflade.

Oprette en ny konto med navnet: bind

Adgangskode konfigureret til BIND-brugeren: kamisama123..

Kubernetes bruger denne konto til at forespørge på Active Directory.

Tillykke, du har oprettet de nødvendige Active Directory-konti.

Selvstudium Windows – Oprettelse af domænegruppe

Derefter skal vi oprette en gruppe i Active Directory.

Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren

Opret en ny gruppe i objektbeholderen Brugere.

Opret en ny gruppe med navnet: KUBERNETES-ADMIN.

Medlemmer af denne gruppe har administrativ tilladelse til Kubernetes Dashboard.

Vigtigt! Tilføj admin-brugeren som medlem af KUBERNETES-ADMIN.

Tillykke, du har oprettet den nødvendige Active Directory-gruppe.

Selvstudium Kubernetes – Installation af masternoder

Installer listen over påkrævede pakker.

Copy to Clipboard

Installer docker-tjenesten.

Copy to Clipboard

Aktiver Docker-tjenesten under opstart.

Copy to Clipboard

Rediger konfigurationsfilen til Docker-tjenesten.

Copy to Clipboard

Tilføj følgende konfiguration i slutningen af det vareelement, der hedder: EXECSTART

Copy to Clipboard

Her er filen før vores konfiguration.

Copy to Clipboard

Her er filen efter vores konfiguration.

Copy to Clipboard

Opret en systemkonfigurationsfil.

Copy to Clipboard

Her er filindholdet.

Copy to Clipboard

Aktiver systemkonfigurationsfilen.

Copy to Clipboard

Rediger konfigurationsfilen med navnet: MODULER.Conf

Copy to Clipboard

Tilføj følgende konfiguration i slutningen af denne fil.

Copy to Clipboard

Rediger FSTAB-konfigurationsfilen, og deaktiver brugen af Swap-hukommelse.

Copy to Clipboard

Her er filen før vores konfiguration.

Copy to Clipboard

Her er filen efter vores konfiguration.

Copy to Clipboard

Angiv et entydigt værtsnavn.

Copy to Clipboard

Opret en fil for at konfigurere de nødvendige miljøvariabler.

Copy to Clipboard

Her er filindholdet.

Copy to Clipboard

Genstart computeren.

Copy to Clipboard

Hent og installer lagernøglen til Kubernetes.

Copy to Clipboard

Tilføj det officielle Kubernetes-lager.

Copy to Clipboard

Installer Kubernetes-pakkerne.

Copy to Clipboard

Download de nødvendige Kubernetes-billeder.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Initialiser Kubernetes-klyngen.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Vær opmærksom på kommandoen for at føje noder til Kubernetes-klyngen.

Copy to Clipboard

Angiv den korrekte filtilladelse for Kubernetes-konfigurationsfilen.

Copy to Clipboard

Installer den nødvendige netværkskonfiguration.

Copy to Clipboard

Som standard må Kubernetes-masternoder ikke køre PODS.

Du kan også aktivere Kubernetes-masternoderen for at køre PODS.

Copy to Clipboard

I vores eksempel bruger vi en single-node Kubernetes klynge.

Selvstudium – Installation af Kubernetes dashboard

Installer listen over påkrævede pakker.

Copy to Clipboard

Hent den nødvendige YAML-fil.

Copy to Clipboard

Installer Kubernetes Dashboard.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Opret en tjenestekonto til dashboardet.

Copy to Clipboard

Konfigurer rollen Klyngeadministrator til dashboardtjenestekontoen.

Copy to Clipboard

Opret en tjenestekonto til Apache-proxyen.

Copy to Clipboard

Konfigurer klyngeadministratorrollen til Apache-proxykontoen.

Copy to Clipboard

Vis apache-hemmeligheden, der er tilgængelig på Kubernetes-serveren.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Bemærk, at din hemmelige navn ikke vil være det samme som vores.

Få værdien af Apache hemmelige token.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Vær opmærksom på Apache token værdi.

I vores eksempel er dette den symbolske værdi:

Copy to Clipboard

Vis dashboardtjenesteklyngen IP-adresse.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Vær opmærksom på klyngens IP-adresse og TCP-port.

I vores eksempel bruger dashboardklyngen TCP-porten 443 og IP-adressen 10.107.55.24.

Du er færdig med den nødvendige dashboardkonfiguration.

Kubernetes Proxy – Grundlæggende brugergodkendelse ved hjælp af Apache

Installer Apache-serveren på Master-noden.

Copy to Clipboard

Aktiver de nødvendige Apache-moduler.

Copy to Clipboard

Rediger Apache-konfigurationsfilen.

Copy to Clipboard

Føj følgende linjer til slutningen af denne fil.

Copy to Clipboard

Opret en privat nøgle og et privat certifikat ved hjælp af kommandoen OpenSSL.

Copy to Clipboard

Angiv de ønskede oplysninger.

Copy to Clipboard

I indstillingen COMMON_NAME indstillinger skal du angive IP-adressen eller værtsnavnet.

I vores eksempel bruger vi IP-adressen: 192.168.15.200

Konverter dit eksisterende Kubernetes-proxycertifikat og nøglen til en enkelt fil i PEM-formatet.

Copy to Clipboard

Rediger Apache-konfigurationsfilen for standardwebstedet.

Copy to Clipboard

Her er filen, før vores konfiguration.

Copy to Clipboard

Her er filen, efter vores konfiguration.

Copy to Clipboard

Skift IP-adressen på de konfigurationselementer, der hedder AUTHLDAPURL, til domænecontrollerens IP-adresse.

Rediger alle domæneoplysninger i Active Directory, så de afspejler dit miljø.

Skift IP-adressen på de konfigurationselementer, der hedder PROXYPASS og PROXYPASSREVERSE, til IP-adressen på dashboardklyngen.

Skift tokenværdien for CI’en med navnet REQUESTHEADER til den acittokenværdi for apache, der blev oprettet tidligere.

I vores eksempel har vi aktiveret brugen af HTTPS ved hjælp af selv signerede certifikater.

Copy to Clipboard

I vores eksempel har vi konfigureret brugen af LDAP-godkendelse.

Copy to Clipboard

Apache repræsenterer HTTPS-kommunikation mellem brugeren og dashboardklyngens IP-adresse.

Copy to Clipboard

Apache bruger et certifikat og en nøgle, der oprettes automatisk under Kubernetes-serverinstallationen, til at udføre gensidig TLS-godkendelse på dashboardet.

Copy to Clipboard

Apache-serveren føjer en header til alle pakker, der sendes til dashboardet.

Denne header hedder AUTHORIZATION BEARER og indeholder det hemmelige token, der blev oprettet tidligere i Apache-proxyen.

Copy to Clipboard

Apache omdirigerer også HTTP-brugere til HTTPS-versionen af den anmodede URL-adresse.

Copy to Clipboard

Genstart Apache-tjenesten.

Copy to Clipboard

Åbn din browser, og få adgang til HTTPS-versionen af Apache-serverens IP-adresse.

I vores eksempel blev følgende webadresse indtastet i browseren:

• https://192.168.15.200

Apache-serveren kræver, at du udfører brugergodkendelse.

Efter et vellykket login skal Kubernetes Dashboard præsenteres.

Apache-proxyen godkendes automatisk til Kubernetes Dashboard ved hjælp af funktionen med navnet: AUTH HEADER.

Du har fuldført konfigurationen af Apache som proxy for Kubernetes Dashboard.