Kubernetes ダッシュボード - ユーザー認証を有効にする [ ステップバイステップ ]

Kubernetes ダッシュボードをインストールしてユーザー認証を有効にする方法を学習しますか? このチュートリアルでは、Kubernetes ダッシュボードをインストールし、Ubuntu Linux を実行しているコンピューターでユーザー名とパスワードを使用して認証を有効にする方法を示します。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

このチュートリアルでは、Kubernetes マスターノードがインストールされていることを前提としています。

この例では、Kubernetes ノード IP アドレスは 192.168.15.200 です。

クベルネテス – チュートリアル

このページでは、Kubernetes に関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアル Kubernetes ダッシュボード – ユーザー認証を有効にする

必要なパッケージの一覧をインストールします。

Copy to Clipboard

必要な YAML ファイルをダウンロードします。

Copy to Clipboard

この YAML ファイルを編集します。

Copy to Clipboard

DEPLOYMENT という名前の領域を見つけて、次の構成を追加します。

Copy to Clipboard

ここでは、構成の前に配置領域を示します。

Copy to Clipboard

ここでは、設定後の配置領域を示します。

Copy to Clipboard

必要な Kubernetes ダッシュボードの構成をインストールします。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Kubernetes ダッシュボードのパスワードファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

この例では、ADMIN という名前のユーザーアカウントを作成し、パスワード ADMINPASS123 を設定しました。

Kubernetes API 設定ファイルを編集します。

Copy to Clipboard

VOLUMES という名前のエリアを見つけて、以下の構成を追加します。

Copy to Clipboard

ここでは、構成の前に、VOLUMES エリアを示します。

Copy to Clipboard

ここでは、設定後の VOLUMES エリアを示します。

Copy to Clipboard

VOLUMEMOUNTS という名前のエリアを見つけて、以下の構成を追加します。

Copy to Clipboard

ここでは、構成の前に、VOLUMEMOUNTS 領域があります。

Copy to Clipboard

ここでは、設定後の VOLUMEMOUNTS 領域を示します。

Copy to Clipboard

COMMAND という名前のエリアを見つけて、次の構成を追加します。

Copy to Clipboard

ここでは、設定の前に、コマンド領域があります。

Copy to Clipboard

spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.15.200
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

ここでは、設定後のコマンド領域です。

Copy to Clipboard

spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.15.200
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    - --basic-auth-file=/etc/kubernetes/auth/auth.csv

Kubernetes API 構成ファイルを変更すると、古い構成を使用して自動的に POD が削除されます。

システムは、新しい構成を使用して新しい POD も生成します。

これには 1 ~ 5 分かかります。

Syslog ファイルを監視して、このプロセスを確認できます。

Copy to Clipboard

このプロセスが完了するまで待ちます。

プロキシを起動して、Kubernetes ダッシュボードへのアクセスを有効にします。

Copy to Clipboard

大事な！ HTTP 経由での Kubernetes ダッシュボードへのアクセスは、Localhost に対してのみ許可されます。

このコンピュータにグラフィカルインターフェイスがある場合は、ブラウザを開き、次の URL にアクセスします。

• http://127.0.0.1:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/

Kubernetes ダッシュボードのログインインターフェイスが表示されます。

[基本] オプションを選択し、以前に作成したユーザー名とパスワードを入力します。

• ユーザー名: 管理者
• パスワード: adminpass123

ログインが成功すると、Kubernetes ダッシュボードが表示されます。

基本認証を使用するために、Kubernetes ダッシュボードの構成が完了しました。

Kubernetes ダッシュボード – Apache プロキシを使用したリモートアクセス

HTTP 経由での Kubernetes ダッシュボードへのアクセスは、Localhost に対してのみ許可されます。

Kubernetes ダッシュボードでリモートアクセスを許可するプロキシとして Apache を使用してみましょう。

マスターノードで、Apache サーバーをインストールします。

Copy to Clipboard

必要な Apache モジュールを有効にします。

Copy to Clipboard

Apache 構成ファイルを編集します。

Copy to Clipboard

このファイルの末尾に次の行を追加します。

Copy to Clipboard

OpenSSL コマンドを使用して、秘密キーと証明書を作成します。

Copy to Clipboard

要求された情報を入力します。

Copy to Clipboard

COMMON_NAMEという名前のオプションで、IP アドレスまたはホスト名を入力する必要があります。

この例では、IP アドレス 192.168.15.200 を使用しました。

デフォルトの Web サイトの Apache 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

ここに、設定後のファイルがあります。

Copy to Clipboard

この例では、HTTP ユーザーを HTTPS バージョンの Web サイトにリダイレクトしました。

この例では、Apache サーバーはプロキシとして機能し、すべての要求を Kubernetes プロキシに送信します。

この例では、自己署名証明書を使用しました。

Apache サービスを再起動します。

Copy to Clipboard

プロキシを起動して、Kubernetes ダッシュボードへのアクセスを有効にします。

Copy to Clipboard

ブラウザを開き、Web サーバーの IP アドレスを入力します。

この例では、ブラウザに次の URL が入力されています。

• https://192.168.15.200/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/#/login

Apache サーバーはプロキシとして機能し、Kubernetes ダッシュボードを表示します。

[基本] オプションを選択し、以前に作成したユーザー名とパスワードを入力します。

• ユーザー名: 管理者
• パスワード: adminpass123

ログインが成功すると、Kubernetes ダッシュボードが表示されます。

おめでとう！ Kubernetes ダッシュボードのプロキシとして Apache の設定が正常に完了しました。

Kubernetes ダッシュボード – ユーザー認証を有効にする