לוח מחוונים של קוברנט

האם בדעתך ללמוד כיצד להגדיר את אימות הרדיוס של לוח המחוונים של Kubernetes עם פריאדיוס? במדריך זה, אנחנו הולכים להראות לך כיצד לאמת משתמשי לוח מחוונים Kubernetes באמצעות פרוטוקול Radius ושירות Freeradius במחשב שבו פועל אובונטו לינוקס.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

ערכת לימוד זו תתקין אשכול של קוברנטים חד-צומתיים.

בדוגמה שלנו, כתובת ה-IP של הצומת הראשי של Kubernetes היא 192.168.15.200.

בדוגמה שלנו, כתובת ה-IP של שרת Radius היא 192.168.15.10.

קוברנט – הדרכות

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל-Kubernetes.

ערכת לימוד – התקנת שרת FreeRadius על אובונטו לינוקס

• IP – 192.168.15.10
• מערכת אופראית – אובונטו 20
• שם מארח – פריאדיוס

במסוף Linux, השתמש בפקודות הבאות כדי להתקין את שירות FreeRadius.

Copy to Clipboard

עכשיו, אנחנו צריכים להוסיף לקוחות FreeRadius ללקוחות.conf;.

אתר וערוך את הלקוחות.conf.

Copy to Clipboard

הוסף את השורות הבאות בסוף הקובץ clients.conf.

Copy to Clipboard

בדוגמה שלנו, אנו מוסיפים מכשיר לקוח אחד:

ההתקן נקרא KUBERNETES ויש לו את כתובת ה-IP 192.168.15.200.

בדוגמה שלנו, אנו מגדירים את הסוד: KAMISAMA123.

עכשיו, אנחנו צריכים להוסיף משתמשי FreeRadius לקובץ התצורה של המשתמשים.

חפש וערוך את קובץ התצורה של המשתמש Freeradius.

Copy to Clipboard

הוספת השורות הבאות בסוף הקובץ

Copy to Clipboard

בדוגמה שלנו, אנו יוצרים חשבון משתמש בשם ADMIN.

הפעל מחדש את שרת פריאדיוס.

Copy to Clipboard

בדוק את קובץ התצורה של שרת הרדיוס.

Copy to Clipboard

סיימת את ההתקנה של פריאדיוס על אובונטו לינוקס.

קוברנטים של ערכת לימוד – התקנת צומת ראשי

התקן את רשימת החבילות הדרושות.

Copy to Clipboard

התקן את שירות Docker.

Copy to Clipboard

הפוך את שירות Docker לזמין במהלך האתחול.

Copy to Clipboard

ערוך את קובץ התצורה של שירות Docker.

Copy to Clipboard

הוסף את התצורה הבאה בסוף הפריט בשם: EXECSTART

Copy to Clipboard

הנה הקובץ לפני התצורה שלנו.

Copy to Clipboard

הנה הקובץ לאחר התצורה שלנו.

Copy to Clipboard

צור קובץ תצורת מערכת.

Copy to Clipboard

הנה תוכן הקובץ.

Copy to Clipboard

הפוך את קובץ תצורת המערכת לזמין.

Copy to Clipboard

ערוך את קובץ התצורה בשם: MODULES. קואף (קונף)

Copy to Clipboard

הוסף את התצורה הבאה בסוף קובץ זה.

Copy to Clipboard

ערוך את קובץ התצורה של FSTAB ובטל את השימוש בזיכרון Swap.

Copy to Clipboard

הנה הקובץ לפני התצורה שלנו.

Copy to Clipboard

הנה הקובץ לאחר התצורה שלנו.

Copy to Clipboard

הגדר שם מחשב מארח ייחודי.

Copy to Clipboard

צור קובץ כדי לקבוע את התצורה של משתני הסביבה הדרושים.

Copy to Clipboard

הנה תוכן הקובץ.

Copy to Clipboard

אתחל מחדש את המחשב.

Copy to Clipboard

הורד והתקן את מפתח מאגר קוברנט.

Copy to Clipboard

הוסף את מאגר הקוברנטים הרשמי.

Copy to Clipboard

התקן את חבילות קוברנט.

Copy to Clipboard

הורד את התמונות הנדרשות של קוברנט.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

אתחל את אשכול קוברנט.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

שים לב לפקודה כדי להוסיף צמתיים לאשכול Kubernetes.

Copy to Clipboard

הגדר את הרשאת הקובץ הנכונה בקובץ התצורה של Kubernetes.

Copy to Clipboard

התקן את תצורת הרשת הנדרשת.

Copy to Clipboard

כברירת מחדל, הצומת הראשי של Kubernetes אינו מורשה להפעיל PODS.

לחלופין, אפשר לצומת הראשי של Kubernetes להפעיל פודים.

Copy to Clipboard

בדוגמה שלנו, אנו משתמשים באשכול של קוברנטי חד-צומת.

ערכת לימוד – התקנת לוח מחוונים של קוברנט

התקן את רשימת החבילות הדרושות.

Copy to Clipboard

הורד את קובץ ה- YAML הנדרש.

Copy to Clipboard

התקן את לוח המחוונים של קוברנט.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

צור חשבון שירות עבור לוח המחוונים.

Copy to Clipboard

קביעת התצורה של תפקיד מנהל האשכולות לחשבון שירות לוח המחוונים.

Copy to Clipboard

צור חשבון שירות עבור ה- Proxy של האפאצ'י.

Copy to Clipboard

קביעת התצורה של תפקיד מנהל האשכול לחשבון ה-proxy של האפאצ'י.

Copy to Clipboard

פרט את סוד האפאצ'י הזמין בשרת Kubernetes.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

שים לב ששמו של סודך לא יהיה זהה לשמו של סודך.

קבל את הערך של האסימון הסודי של האפאצ'י.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

Name:         apache-proxy-token-8gk9p
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: apache-proxy
              kubernetes.io/service-account.uid: e07884b4-282c-4ef1-8662-e2a3eaf3c448

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFwYWNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVFGe34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY6p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q

שים לב לערך אסימון האפאצ'י.

בדוגמה שלנו, זהו ערך האסימון:

Copy to Clipboard

פרט את כתובת ה- IP של אשכול שירות לוח המחוונים.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

שים לב לכתובת ה- IP של האשכול וביציאת TCP.

בדוגמה שלנו, אשכול לוח המחוונים משתמש יציאת TCP 443 ואת כתובת ה-IP 10.107.55.24.

סיימת את התצורה הנדרשת של לוח מחוונים.

פרוקסי של קוברנט – אימות רדיוס באמצעות אפאצ'י

בצומת הראשי, התקן את שרת האפאצ'י.

Copy to Clipboard

הפעל את מודולי האפאצ'י הדרושים.

Copy to Clipboard

ערוך את קובץ התצורה של האפאצ'י.

Copy to Clipboard

הוסף את השורות הבאות לסוף קובץ זה.

Copy to Clipboard

צור מפתח פרטי ואייעוד באמצעות הפקודה OpenSSL.

Copy to Clipboard

הזן את המידע המבוקש.

Copy to Clipboard

באפשרות בשם COMMON_NAME, עליך להזין את כתובת ה- IP או את שם המחשב המארח.

בדוגמה שלנו, אנו משתמשים בכתובת ה-IP: 192.168.15.200

המר את אישור ה- Proxy הקיים של Kubernetes ואת המפתח לקובץ יחיד בתבנית PEM.

Copy to Clipboard

ערוך את קובץ התצורה של אפאצ'י עבור אתר ברירת המחדל.

Copy to Clipboard

הנה הקובץ, לפני התצורה שלנו.

Copy to Clipboard

הנה הקובץ, אחרי התצורה שלנו.

Copy to Clipboard

<VirtualHost *:80>
        RewriteEngine On
        RewriteCond %{HTTPS} !=on
        RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
</virtualhost>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLEngine on
        SSLCertificateFile /etc/apache2/certificate/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certificate/apache.key
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        SSLProxyCACertificateFile /etc/kubernetes/pki/ca.crt
        SSLProxyMachineCertificateFile /etc/apache2/certificate/front-proxy-client.pem
        RequestHeader set Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJ cm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm hbWUiOiJhcGFjaGUtcHJveHktdG9rZW4tOGdrOXAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiYXBhY2hlLXByb3h5Iiwia3ViZXJuZXRlcy5pby9zZ J2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZTA3ODg0YjQtMjgyYy00ZWYxLTg2NjItZTJhM2VhZjNjNDQ4Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmFw WNoZS1wcm94eSJ9.qKzSvCYOqDfvJ1S9W4-nEzZScmGwjYsi3g5df542_aDyZRugbiWbFmjrBTB70tDwuGTeupbPmS3ptweyjbb_7K5VbSk-2zCazgNeiCZ_q7M4yXgPi6rNYNiBX9pQEBaBQCWgH8-VVF e34xrLR88cv9YNLfH9ZzrdJf2jPEBhptvdVKr6Ljpbhz-4P-mr5_IRsru_72wsRRZZptL80ARp6PkPdrYIQZ3bMQNsq3GEWxMl8SRPVqEuvVXykxfEt1Hx5URwtiwh_MLEZ5ClCIuGsGs8fWQhCLm_l0SY p9B2DmU-XhhT_HjuotDI3pm2p5pJb9WmO4dMLx_NsBnLSz_Q"
<Location />
        AuthType Basic
        AuthName "Secure area - Authentication required"
        AuthBasicAuthoritative Off
        AuthBasicProvider radius
        AuthRadiusAuthoritative on
        AuthRadiusActive On
        Require valid-user
        ProxyPass  https://10.107.55.24:443/
        ProxyPassReverse  https://10.107.55.24:443/
</Location>
AddRadiusAuth 192.168.15.10:1812 kamisama123 5:3
</VirtualHost>

שנה את כתובת ה- IP של פריט התצורה בשם ADDRADIUSAUTH לכתובת ה- IP של שרת Radius.

שנה את כתובת ה-IP של פריטי התצורה בשם PROXYPASS ו- PROXYPASSREVERSE לכתובת ה-IP של אשכול לוח המחוונים.

שנה את ערך האסימון של CI בשם REQUESTHEADER לערך האסימון הסודי של אפאצ'י שנוצר קודם לכן.

בדוגמה שלנו, אפשרנו את השימוש ב- HTTPS באמצעות אישורים בחתימה עצמית.

Copy to Clipboard

בדוגמה שלנו, הגדרנו את השימוש באימות RADIUS.

Copy to Clipboard

אפאצ'י ייצג תקשורת HTTPS בין המשתמש לבין כתובת ה-IP של אשכול לוח המחוונים.

Copy to Clipboard

אפאצ'י ישתמש באישור ומפתח שנוצרו באופן אוטומטי במהלך התקנת שרת Kubernetes כדי לבצע אימות TLS הדדי בלוח המחוונים.

Copy to Clipboard

שרת האפאצ'י יוסיף כותרת לכל המנות הנשלחות ללוח המחוונים.

כותרת זו נקראת נושא הרשאות ומכילה את האסימון הסודי שנוצר קודם לכן ב- Proxy של אפאצ'י.

Copy to Clipboard

אפאצ'י ינתב מחדש גם משתמשי HTTP לגירסת HTTPS של כתובת ה- URL המבוקשת.

Copy to Clipboard

הפעל מחדש את שירות האפאצ'י.

Copy to Clipboard

פתח את הדפדפן שלך וגישה לגירסת HTTPS של כתובת ה-IP של שרת האפאצ'י.

בדוגמה שלנו, כתובת ה-URL הבאה הוזנה בדפדפן:

• ג'https://192.168.15.200

שרת האפאצ'י ידרוש ממך לבצע אימות משתמש.

Kubernetes Dashboard Proxy Authentication

לאחר כניסה מוצלחת, יש להציג את לוח המחוונים של Kubernetes.

ה- Proxy של האפאצ'י יאמת באופן אוטומטי ללוח המחוונים של Kubernetes באמצעות התכונה בשם: כותרת AUTH.

Kubernetes dashboard Authorization bearer

השלמת בהצלחה את התצורה של אפאצ'י כ- Proxy עבור לוח המחוונים של Kubernetes.

לוח מחוונים של קוברנט – אימות רדיוס