Kubernetes ダッシュボード - Nginx を使用したユーザー認証 [ ステップバイステップ ]

Kubernetes ダッシュボードのインストール方法、Nginx をプロキシとして構成する方法、Nginx を使用してユーザー認証を制御する方法を学習しますか? このチュートリアルでは、Kubernetes ダッシュボードをインストールし、Ubuntu Linux を実行しているコンピューターで認証プロキシとして Nginx を使用できるようにする方法を説明します。

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

このチュートリアルでは、単一ノード Kubernetes クラスターをインストールします。

この例では、Kubernetes マスターノードの IP アドレスは 192.168.15.200 です。

クベルネテス – チュートリアル

このページでは、Kubernetes に関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアル Kubernetes – マスターノードのインストール

必要なパッケージの一覧をインストールします。

Copy to Clipboard

Docker サービスをインストールします。

Copy to Clipboard

ブート中に Docker サービスを有効にします。

Copy to Clipboard

Docker サービス構成ファイルを編集します。

Copy to Clipboard

EXECSTART という名前の項目の末尾に、次の構成を追加します。

Copy to Clipboard

設定前のファイルを次に示します。

Copy to Clipboard

ここに私たちの設定の後のファイルがあります。

Copy to Clipboard

システム構成ファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

システム構成ファイルを有効にします。

Copy to Clipboard

MODULES という名前の構成ファイルを編集します。Conf

Copy to Clipboard

このファイルの末尾に次の構成を追加します。

Copy to Clipboard

FSTAB 構成ファイルを編集し、スワップメモリの使用を無効にします。

Copy to Clipboard

設定前のファイルを次に示します。

Copy to Clipboard

ここに私たちの設定の後のファイルがあります。

Copy to Clipboard

一意のホスト名を設定します。

Copy to Clipboard

必要な環境変数を構成するファイルを作成します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

コンピュータを再起動します。

Copy to Clipboard

Kubernetes リポジトリキーをダウンロードしてインストールします。

Copy to Clipboard

公式の Kubernetes リポジトリを追加します。

Copy to Clipboard

Kubernetes パッケージをインストールします。

Copy to Clipboard

必要なKubernetes画像をダウンロードしてください。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Kubernetes クラスターを初期化します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Kubernetes クラスターにノードを追加するコマンドをメモします。

Copy to Clipboard

Kubernetes 構成ファイルに正しいファイル権限を設定します。

Copy to Clipboard

必要なネットワーク構成をインストールします。

Copy to Clipboard

デフォルトでは、Kubernetes マスターノードは PODS を実行できません。

必要に応じて、Kubernetes マスターノードで PODS を実行できるようにします。

Copy to Clipboard

この例では、単一ノード Kubernetes クラスターを使用しています。

チュートリアル – Kubernetes ダッシュボードのインストール

必要なパッケージの一覧をインストールします。

Copy to Clipboard

必要な YAML ファイルをダウンロードします。

Copy to Clipboard

Kubernetes ダッシュボードをインストールします。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

ダッシュボードのサービスアカウントを作成します。

Copy to Clipboard

クラスター管理者の役割をダッシュボードサービスアカウントに構成します。

Copy to Clipboard

Nginx プロキシのサービスアカウントを作成します。

Copy to Clipboard

Nginx プロキシアカウントにクラスタ管理ロールを設定します。

Copy to Clipboard

Kubernetes サーバーで使用できる Nginx シークレットを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

あなたの秘密の名前は私たちの名前と同じではありません。

Nginx シークレットトークン値を取得します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

Name:         nginx-proxy-token-h6f4l
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: nginx-proxy
              kubernetes.io/service-account.uid: cdd45665-99dd-49f7-8801-f33110c30209

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJuZ2lueC1wcm94eS10b2tlbi1oNmY0bCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJuZ2lueC1wcm94eSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImNkZDQ1NjY1LTk5ZGQtNDlmNy04ODAxLWYzMzExMGMzMDIwOSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTpuZ2lueC1wcm94eSJ9.l8fOU4_NTvYvJW3sAznwLxV6EGUhJPidCge2qCbJMoYJ1vkRc2dLkPxZebjx-_mnYYf5vP7jVCR2RlHV_ozHV31YFQrkOIs09JmMIXmSoN6jWfxkePIeWW33WVP2h836fmNChM8XWthVgKq5bfNav83q-lyHnFZbfnsZiJ2TTxJPAhlsZETuhx2szhN9qfFIoQMU357QO5pepkomXRLvPnMSLnsFarx2_0tLZ36OqPCs0L8czikKqtWu-6bwKuNdSNf-iZEnSoSakWvG2i_51tjskt4aFjNyamIEzXj-w11Dka6WB-0Lgz5cwBtBAOjHiPLmFM8mGGBhQomRJKEdVA

Nginx トークンの値をメモします。

この例では、トークンの値を次に示します。

Copy to Clipboard

ダッシュボードサービスクラスターの IP アドレスを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

クラスタの IP アドレスと TCP ポートをメモします。

この例では、ダッシュボードクラスターは TCP ポート 443 と IP アドレス 10.107.55.24 を使用しています。

必要なダッシュボードの設定が完了しました。

Kubernetes プロキシ – Nginx を使用した基本ユーザー認証

マスターノードに Nginx サーバーをインストールします。

Copy to Clipboard

Nginx パスワードファイルを作成し、最初のユーザーアカウントを追加します。

Copy to Clipboard

システムは、新しいユーザーアカウントにパスワードを入力するように要求します。

Copy to Clipboard

ここにファイルの内容があります。

Copy to Clipboard

追加のユーザーアカウントを作成するには、次のコマンドを使用します。

Copy to Clipboard

OpenSSL コマンドを使用して、秘密キーと証明書を作成します。

Copy to Clipboard

要求された情報を入力します。

Copy to Clipboard

COMMON_NAMEという名前のオプションで、IP アドレスまたはホスト名を入力する必要があります。

この例では、IP アドレス 192.168.15.200 を使用しました。

デフォルトの Web サイトの Nginx 構成ファイルを編集します。

Copy to Clipboard

ここでは、設定の前にファイルがあります。

Copy to Clipboard

ここに、設定後のファイルがあります。

Copy to Clipboard

server {
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
        ssl_certificate /etc/nginx/certificate/nginx-certificate.crt;
        ssl_certificate_key /etc/nginx/certificate/nginx.key;
        root /var/www/html;
        index index.html index.htm index.nginx-debian.html;
        server_name _;
        auth_basic "Secure area - Authentication required";
        auth_basic_user_file /etc/nginx/.htpasswd;
        location / {
                proxy_pass https://10.107.55.24:443;
                proxy_ssl_certificate     /etc/kubernetes/pki/front-proxy-client.crt;
                proxy_ssl_certificate_key     /etc/kubernetes/pki/front-proxy-client.key;
                proxy_ssl_trusted_certificate  /etc/kubernetes/pki/ca.crt;
                proxy_set_header Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3Mi iJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2V cmV0Lm5hbWUiOiJuZ2lueC1wcm94eS10b2tlbi1oNmY0bCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJuZ2lueC1wcm94eSIsImt1YmVybmV0ZXMuaW vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImNkZDQ1NjY1LTk5ZGQtNDlmNy04ODAxLWYzMzExMGMzMDIwOSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3Rlb puZ2lueC1wcm94eSJ9.l8fOU4_NTvYvJW3sAznwLxV6EGUhJPidCge2qCbJMoYJ1vkRc2dLkPxZebjx-_mnYYf5vP7jVCR2RlHV_ozHV31YFQrkOIs09JmMIXmSoN6jWfxkePIeWW33WVP2h836fmNChM8 WthVgKq5bfNav83q-lyHnFZbfnsZiJ2TTxJPAhlsZETuhx2szhN9qfFIoQMU357QO5pepkomXRLvPnMSLnsFarx2_0tLZ36OqPCs0L8czikKqtWu-6bwKuNdSNf-iZEnSoSakWvG2i_51tjskt4aFjNyam EzXj-w11Dka6WB-0Lgz5cwBtBAOjHiPLmFM8mGGBhQomRJKEdVA";
        }
}

ダッシュボードクラスターの IP アドレスにPROXY_PASSという名前の構成項目の IP アドレスを変更します。

PROXY_SET_HEADERという名前の構成項目のトークン値を、以前に作成した Nginx シークレットトークン値に変更します。

この例では、自己署名証明書を使用した HTTPS の使用を有効にしました。

Copy to Clipboard

この例では、Nginx 基本認証の使用を構成しました。

Copy to Clipboard

Nginx は、ユーザーとダッシュボードクラスターの IP アドレス間の HTTPS 通信をプロキシします。

Copy to Clipboard

Nginx は Kubernetes サーバーのインストール中に自動的に作成された証明書とキーを使用して、ダッシュボードへの相互 TLS 認証を実行します。

Copy to Clipboard

Nginx サーバーは、ダッシュボードに送信されるすべてのパケットにヘッダーを追加します。

このヘッダーは AUTHORIZATION BEARER という名前で、以前に Nginx プロキシに作成されたシークレットトークンを含みます。

Copy to Clipboard

Nginx サービスを再起動します。

Copy to Clipboard

ブラウザを開き、NGInx サーバーの IP アドレスの HTTPS バージョンにアクセスします。

この例では、ブラウザに次の URL が入力されています。

• https://192.168.15.200

Nginx サーバーでは、ユーザー認証を実行する必要があります。

Kubernetes Dashboard Proxy Authentication

ログインが成功すると、Kubernetes ダッシュボードが表示されます。

Nginx プロキシは、次の名前の機能を使用して Kubernetes ダッシュボードで認証を自動的に実行します: AUTH HEADER。

Kubernetes dashboard Authorization bearer

Kubernetes ダッシュボードのプロキシとして Nginx の設定が正常に完了しました。

Kubernetes ダッシュボード – Nginx を使用したユーザー認証