Haluatko oppia määrittämään Kubernetes LDAP -todennuksen Active Directoryssa? Tässä opetusohjelmassa näytämme, miten Kubernetes Dashboard -käyttäjät todennetaan Windows Active Directoryn ja LDAP-protokollan avulla.
• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18
Tämä opetusohjelma asentaa yksi solmun Kubernetes-klusterin.
Esimerkissämme Kubernetes-pääsanan IP-osoite on 192.168.15.200.
Esimerkissämme toimialueen ohjauskoneen IP-osoite on 192.168.15.10.
Kubernetes – Opetusohjelmat
Tällä sivulla tarjoamme nopean pääsyn luetteloon opetusohjelmia, jotka liittyvät Kubernetes.
Opetusohjelma Windows – Toimialueen ohjauskoneen palomuuri
• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Isäntänimi – TECH-DC01
Ensinnäkin meidän on luotava palomuurisääntö Windows-toimialueen ohjauskoneeseen.
Tämän palomuurisäännön avulla Kubernetes-palvelin voi tehdä kyselyn Active-hakemistosta.
Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri
Luo uusi saapuvan liikenteen palomuurisääntö.
Valitse PORT-vaihtoehto.
Valitse TCP-vaihtoehto.
Valitse Tietyt paikalliset portit -vaihtoehto.
Kirjoita TCP-portti 389.
Valitse Salli yhteys -vaihtoehto.
Valitse DOMAIN(TOIMIALUE-vaihtoehto).
Valitse YKSITYINEN-vaihtoehto.
Tarkista JULKINEN-vaihtoehto.
Kirjoita palomuurisäännön kuvaus.
Onnittelut, olet luonut vaaditun palomuurisäännön.
Tämän säännön avulla Kubernetes-palvelin voi tehdä kyselyn Active Directory -tietokannasta.
Opetusohjelma Windows – Toimialuetilin luominen
Seuraavaksi meidän on luotava vähintään kaksi tiliä Active Directory -tietokantaan.
ADMIN-tiliä käytetään kirjautumaan Kubernetesin koontinäyttöön.
BIND-tiliä käytetään Active Directory -tietokannan kyselyihin.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi tili Käyttäjät-säilöön.
Luo uusi tili nimeltä: admin
Admin-käyttäjälle määritetty salasana: 123qwe.
Tätä tiliä käytetään Todennettuna Kubernetes-verkkoliittymässä.
Luo uusi tili nimeltä: bind
BIND-käyttäjälle määritetty salasana: kamisama123.
Kubernetes käyttää tätä tiliä Active Directoryn kyselyyn.
Onnittelut, olet luonut tarvittavat Active Directory -tilit.
Opetusohjelma Windows – Toimialueryhmän luominen
Seuraavaksi meidän on luotava ryhmä Active Directoryyn.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi ryhmä Käyttäjät-säilöön.
Luo uusi ryhmä nimeltä KUBERNETES-ADMIN.
Tämän ryhmän jäsenillä on järjestelmänvalvojan oikeudet Kubernetes-koontinäyttöön.
Tärkeää! Lisää JÄRJESTELMÄNVALVOJA-käyttäjä KUBERNETES-ADMIN-järjestelmänvalvojan jäseneksi.
Onnittelut, olet luonut tarvittavan Active Directory -ryhmän.
Opetusohjelma Kubernetes – Pääsaaliin asennus
Asenna tarvittavien pakettien luettelo.
Asenna Docker-palvelu.
Ota Docker-palvelu käyttöön käynnistyksen aikana.
Muokkaa Docker-palvelun määritystiedostoa.
Lisää nimikkeen loppuun seuraava konfiguraatio: EXECSTART
Tässä on tiedosto ennen kokoonpanoamme.
Tässä on tiedosto kokoonpanomme jälkeen.
Luo järjestelmän määritystiedosto.
Tässä on tiedoston sisältö.
Ota järjestelmän määritystiedosto käyttöön.
Muokkaa määritystiedostoa nimeltä MODULES. Conf
Lisää seuraava määritys tämän tiedoston loppuun.
Muokkaa FSTAB-määritystiedostoa ja poista Swap-muistin käyttö käytöstä.
Tässä on tiedosto ennen kokoonpanoamme.
Tässä on tiedosto kokoonpanomme jälkeen.
Määritä yksilöllinen isäntänimi.
Luo tiedosto tarvittavien ympäristömuuttujien määrittämista määrittämistamistajaksi.
Tässä on tiedoston sisältö.
Käynnistä tietokone uudelleen.
Lataa ja asenna Kubernetes-arkistoavain.
Lisää virallinen Kubernetes-arkisto.
Asenna Kubernetes-paketit.
Lataa tarvittavat Kubernetes-kuvat.
Tässä on komentotulostin.
Alusta Kubernetes-klusteri.
Tässä on komentotulostin.
Ota huomioon komento, jonka avulla voit lisätä solmuja Kubernetes-klusteriin.
Määritä kubernetes-määritystiedoston oikea tiedosto-oikeus.
Asenna tarvittava verkkokokoonpano.
Oletusarvon mukaan Kubernetes-pääs solmu ei saa suorittaa PODS-jätteet.
Voit halutessasi ottaa Kubernetes-pääs solmun käyttöön PODS-kuulokkeissa.
Esimerkissämme käytämme yksi solmuista Kubernetes-klusteria.
Opetusohjelma – Kubernetes dashboardin asennus
Asenna tarvittavien pakettien luettelo.
Lataa tarvittava YAML-tiedosto.
Asenna Kubernetesin koontinäyttö.
Tässä on komentotulostin.
Luo palvelutili koontinäyttöä varten.
Määritä klusterin järjestelmänvalvojan rooli Koontinäyttö-palvelutiliksi.
Luo palvelutili Apache-välityspalvelimelle.
Määritä klusterin järjestelmänvalvojan rooli Apache-välityspalvelimen tilille.
Luettele Kubernetes-palvelimella käytettävissä olevat Apache-salaisuudet.
Tässä on komentotulostin.
Huomaa, että salaisuutesi nimi ei ole sama kuin meidän.
Hanki apassin salaisen tunnuksen arvo.
Tässä on komentotulostin.
Ota huomioon Apache-tunnussanoman arvo.
Esimerkissämme tämä on tunnussanoman arvo:
Luettele Koontinäyttö-palveluklusterin IP-osoite.
Tässä on komentotulostin.
Ota huomioon klusterin IP-osoite ja TCP-portti.
Esimerkissämme Koontinäyttöklusteri käyttää TCP-porttia 443 ja IP-osoitetta 10.107.55.24.
Olet saanut tarvittavat koontinäyttömääritykset valmiiksi.
Kubernetes Proxy – Käyttäjän perustodentaminen Apachen avulla
Asenna Apache-palvelin Pää-solmuon.
Ota tarvittavat Apache-moduulit käyttöön.
Muokkaa Apache-määritystiedostoa.
Lisää seuraavat rivit tämän tiedoston loppuun.
Luo yksityinen avain ja sertifikaatti OpenSSL-komennolla.
Kirjoita pyydetyt tiedot.
Kirjoita COMMON_NAME-osoite tai isäntänimi -vaihtoehtoon.
Esimerkissämme käytämme IP-osoitetta: 192.168.15.200
Muunna nykyinen Kubernetes-välityspalvelinvarmenne ja avain tyypiksi yksittäiseksi tiedostoksi PEM-muodossa.
Muokkaa oletussivuston Apache-määritystiedostoa.
Tässä on kansio, ennen kokoonpanoamme.
Tässä on kansio kokoonpanomme jälkeen.
Muuta AUTHLDAPURL-nimisten määrityskohteiden IP-osoite toimialueen ohjauskoneen IP-osoitteeksi.
Muuta kaikki Active Directoryn toimialuetiedot vastaamaan ympäristöäsi.
Muuta PROXYPASS- ja PROXYPASSREVERSE-nimisten määrityskohteiden IP-osoite Koontinäyttöklusterin IP-osoitteeksi.
Muuta REQUESTHEADER-nimisen CI-tunnuksen arvoksi aiemmin luotu Apache secret token -arvo.
Esimerkissämme mahdollistimme HTTPS:n käytön itse allekirjoitetuilla sertifikaatilla.
Esimerkissämme konfiguroidaan LDAP-todennuksen käyttö.
Apache edustaa HTTPS-viestintää käyttäjän ja Koontinäyttöklusterin IP-osoitteen välillä.
Apache käyttää Kubernetes-palvelimen asennuksen aikana automaattisesti luotua varmennetta ja avainta keskinäisen TLS-todennuksen suorittamiseen koontinäytössä.
Apache-palvelin lisää otsikon kaikkiin koontinäyttöön lähetettyihin paketeille.
Tämän otsikon nimi on AUTHORIZATION BEARER, ja se sisältää Apache-välityspalvelimessa aiemmin luodun salaisen tunnuksen.
Apache ohjaa myös HTTP-käyttäjät pyydetyn URL-osoitteen HTTPS-versioon.
Käynnistä Apache-palvelu uudelleen.
Avaa selain ja käytä Apache-palvelimen IP-osoitteen HTTPS-versiota.
Esimerkissämme selaimeen syötettiin seuraava URL-osoite:
• https://192.168.15.200
Apache-palvelin edellyttää käyttäjän todennuksen suorittamista.
Onnistuneen kirjautumisen jälkeen Kubernetes-koontinäyttö on esitettävä.
Apache-välityspalvelin todennetaan automaattisesti Kubernetesin koontinäyttöön käyttämällä ominaisuutta nimeltä AUTH HEADER.
Olet suorittanut Apachen määrityksen Kubernetes-koontinäytön välityspalvelimena.
