Kubernetes dashboard - RADIUS-todennus

Haluatko oppia asettamaan Kubernetes-hallintapaneelin Radius-todennuksen Freeradiuksella? Tässä opetusohjelmassa näytämme sinulle, miten Kubernetes Dashboard -käyttäjät todennetaan Radius-protokollan ja Freeradius-palvelun avulla tietokoneessa, jossa on Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Tämä opetusohjelma asentaa yksi solmun Kubernetes-klusterin.

Esimerkissämme Kubernetes-pääsanan IP-osoite on 192.168.15.200.

Esimerkissämme Radius-palvelimen IP-osoite on 192.168.15.10.

Kubernetes – Opetusohjelmat

Tällä sivulla tarjoamme nopean pääsyn luetteloon opetusohjelmia, jotka liittyvät Kubernetes.

Opetusohjelma – FreeRadius Serverin asennus Ubuntu Linuxiin

• IP – 192.168.15.10
• Toimintajärjestelmä – Ubuntu 20
• Isäntänimi – FREERADIUS

Asenna FreeRadius-palvelu Linux-konsolissa seuraavilla komennoilla.

Copy to Clipboard

Nyt meidän on lisättävä FreeRadius-asiakkaat asiakkaisiin.conf;.

Etsi ja muokkaa clients.conf.conf-tiedostoa.

Copy to Clipboard

Lisää seuraavat rivit clients.conf-tiedoston loppuun.

Copy to Clipboard

Esimerkissämme lisäämme 1 asiakaslaitteen:

Laitteen nimi on KUBERNETES ja sen IP-osoite on 192.168.15.200.

Esimerkissämme asetamme salaisuuden: KAMISAMA123.

Nyt meidän on lisättävä FreeRadius-käyttäjät USERS-määritystiedostoon.

Etsi ja muokkaa Freeradius-käyttäjän kokoonpanotiedostoa.

Copy to Clipboard

Lisää seuraavat rivit tiedoston loppuun

Copy to Clipboard

Esimerkissämme luomme käyttäjätilin nimeltä ADMIN.

Käynnistä Freeradius-palvelin uudelleen.

Copy to Clipboard

Testaa sädepalvelimen määritystiedosto.

Copy to Clipboard

Olet lopettanut Freeradius-asennuksen Ubuntu Linuxiin.

Opetusohjelma Kubernetes – Pääsaaliin asennus

Asenna tarvittavien pakettien luettelo.

Copy to Clipboard

Asenna Docker-palvelu.

Copy to Clipboard

Ota Docker-palvelu käyttöön käynnistyksen aikana.

Copy to Clipboard

Muokkaa Docker-palvelun määritystiedostoa.

Copy to Clipboard

Lisää nimikkeen loppuun seuraava konfiguraatio: EXECSTART

Copy to Clipboard

Tässä on tiedosto ennen kokoonpanoamme.

Copy to Clipboard

Tässä on tiedosto kokoonpanomme jälkeen.

Copy to Clipboard

Luo järjestelmän määritystiedosto.

Copy to Clipboard

Tässä on tiedoston sisältö.

Copy to Clipboard

Ota järjestelmän määritystiedosto käyttöön.

Copy to Clipboard

Muokkaa määritystiedostoa nimeltä MODULES. Conf

Copy to Clipboard

Lisää seuraava määritys tämän tiedoston loppuun.

Copy to Clipboard

Muokkaa FSTAB-määritystiedostoa ja poista Swap-muistin käyttö käytöstä.

Copy to Clipboard

Tässä on tiedosto ennen kokoonpanoamme.

Copy to Clipboard

Tässä on tiedosto kokoonpanomme jälkeen.

Copy to Clipboard

Määritä yksilöllinen isäntänimi.

Copy to Clipboard

Luo tiedosto tarvittavien ympäristömuuttujien määrittämista määrittämistamistajaksi.

Copy to Clipboard

Tässä on tiedoston sisältö.

Copy to Clipboard

Käynnistä tietokone uudelleen.

Copy to Clipboard

Lataa ja asenna Kubernetes-arkistoavain.

Copy to Clipboard

Lisää virallinen Kubernetes-arkisto.

Copy to Clipboard

Asenna Kubernetes-paketit.

Copy to Clipboard

Lataa tarvittavat Kubernetes-kuvat.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Alusta Kubernetes-klusteri.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Ota huomioon komento, jonka avulla voit lisätä solmuja Kubernetes-klusteriin.

Copy to Clipboard

Määritä kubernetes-määritystiedoston oikea tiedosto-oikeus.

Copy to Clipboard

Asenna tarvittava verkkokokoonpano.

Copy to Clipboard

Oletusarvon mukaan Kubernetes-pääs solmu ei saa suorittaa PODS-jätteet.

Voit halutessasi ottaa Kubernetes-pääs solmun käyttöön PODS-kuulokkeissa.

Copy to Clipboard

Esimerkissämme käytämme yksi solmuista Kubernetes-klusteria.

Opetusohjelma – Kubernetes dashboardin asennus

Asenna tarvittavien pakettien luettelo.

Copy to Clipboard

Lataa tarvittava YAML-tiedosto.

Copy to Clipboard

Asenna Kubernetesin koontinäyttö.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Luo palvelutili koontinäyttöä varten.

Copy to Clipboard

Määritä klusterin järjestelmänvalvojan rooli Koontinäyttö-palvelutiliksi.

Copy to Clipboard

Luo palvelutili Apache-välityspalvelimelle.

Copy to Clipboard

Määritä klusterin järjestelmänvalvojan rooli Apache-välityspalvelimen tilille.

Copy to Clipboard

Luettele Kubernetes-palvelimella käytettävissä olevat Apache-salaisuudet.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Huomaa, että salaisuutesi nimi ei ole sama kuin meidän.

Hanki apassin salaisen tunnuksen arvo.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

Ota huomioon Apache-tunnussanoman arvo.

Esimerkissämme tämä on tunnussanoman arvo:

Copy to Clipboard

Luettele Koontinäyttö-palveluklusterin IP-osoite.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Ota huomioon klusterin IP-osoite ja TCP-portti.

Esimerkissämme Koontinäyttöklusteri käyttää TCP-porttia 443 ja IP-osoitetta 10.107.55.24.

Olet saanut tarvittavat koontinäyttömääritykset valmiiksi.

Kubernetes Proxy – Sädetodennus Apachen avulla

Asenna Apache-palvelin Pää-solmuon.

Copy to Clipboard

Ota tarvittavat Apache-moduulit käyttöön.

Copy to Clipboard

Muokkaa Apache-määritystiedostoa.

Copy to Clipboard

Lisää seuraavat rivit tämän tiedoston loppuun.

Copy to Clipboard

Luo yksityinen avain ja sertifikaatti OpenSSL-komennolla.

Copy to Clipboard

Kirjoita pyydetyt tiedot.

Copy to Clipboard

Kirjoita COMMON_NAME-osoite tai isäntänimi -vaihtoehtoon.

Esimerkissämme käytämme IP-osoitetta: 192.168.15.200

Muunna nykyinen Kubernetes-välityspalvelinvarmenne ja avain tyypiksi yksittäiseksi tiedostoksi PEM-muodossa.

Copy to Clipboard

Muokkaa oletussivuston Apache-määritystiedostoa.

Copy to Clipboard

Tässä on kansio, ennen kokoonpanoamme.

Copy to Clipboard

Tässä on kansio kokoonpanomme jälkeen.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider radius
        AuthRadiusAuthoritative on
        AuthRadiusActive On
        Require valid-user
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
AddRadiusAuth 192.168.15.10:1812 kamisama123 5:3
</VirtualHost>

Muuta ADDRADIUSAUTH-nimisen konfiguraatiokohteen IP-osoite Radius-palvelimen IP-osoitteeksi.

Muuta PROXYPASS- ja PROXYPASSREVERSE-nimisten määrityskohteiden IP-osoite Koontinäyttöklusterin IP-osoitteeksi.

Muuta REQUESTHEADER-nimisen CI-tunnuksen arvoksi aiemmin luotu Apache secret token -arvo.

Esimerkissämme mahdollistimme HTTPS:n käytön itse allekirjoitetuilla sertifikaatilla.

Copy to Clipboard

Esimerkissämme konfiguroidaan RADIUS-todennuksen käyttö.

Copy to Clipboard

Apache edustaa HTTPS-viestintää käyttäjän ja Koontinäyttöklusterin IP-osoitteen välillä.

Copy to Clipboard

Apache käyttää Kubernetes-palvelimen asennuksen aikana automaattisesti luotua varmennetta ja avainta keskinäisen TLS-todennuksen suorittamiseen koontinäytössä.

Copy to Clipboard

Apache-palvelin lisää otsikon kaikkiin koontinäyttöön lähetettyihin paketeille.

Tämän otsikon nimi on AUTHORIZATION BEARER, ja se sisältää Apache-välityspalvelimessa aiemmin luodun salaisen tunnuksen.

Copy to Clipboard

Apache ohjaa myös HTTP-käyttäjät pyydetyn URL-osoitteen HTTPS-versioon.

Copy to Clipboard

Käynnistä Apache-palvelu uudelleen.

Copy to Clipboard

Avaa selain ja käytä Apache-palvelimen IP-osoitteen HTTPS-versiota.

Esimerkissämme selaimeen syötettiin seuraava URL-osoite:

• https://192.168.15.200

Apache-palvelin edellyttää käyttäjän todennuksen suorittamista.

Kubernetes Dashboard Proxy Authentication

Onnistuneen kirjautumisen jälkeen Kubernetes-koontinäyttö on esitettävä.

Apache-välityspalvelin todennetaan automaattisesti Kubernetesin koontinäyttöön käyttämällä ominaisuutta nimeltä AUTH HEADER.

Kubernetes dashboard Authorization bearer

Olet suorittanut Apachen määrityksen Kubernetes-koontinäytön välityspalvelimena.

Kubernetes dashboard – RADIUS-todennus