Wilt u weten hoe u Kubernetes LDAP-verificatie configureren in Active Directory? In deze zelfstudie laten we u zien hoe u Kubernetes-dashboardgebruikers verifiëren met Behulp van Windows Active Directory en het LDAP-protocol.
• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18
Met deze zelfstudie wordt een Kubernetes-cluster met één knooppunt geïnstalleerd.
In ons voorbeeld is het IP-adres van het Kubernetes masterknooppunt 192.168.15.200.
In ons voorbeeld is het IP-adres van de domeincontroller 192.168.15.10.
Kubernetes - Zelfstudies
Op deze pagina bieden we snel toegang tot een lijst met tutorials met betrekking tot Kubernetes.
Zelfstudie Windows - Firewall voor domeincontroller
• IP - 192.168.15.10
• Operacional System - WINDOWS 2012 R2
• Hostname - TECH-DC01
Ten eerste moeten we een firewallregel maken op de Windows-domeincontroller.
Met deze firewallregel kan de Kubernetes-server de Active-map opvragen.
Open op de domeincontroller de toepassing met de naam Windows Firewall met Geavanceerde beveiliging
Maak een nieuwe inkomende firewallregel.
Selecteer de optie POORT.
Selecteer de optie TCP.
Selecteer de optie Specifieke lokale poorten.
Voer de TCP-poort 389 in.
Selecteer de optie Verbinding toestaan.
Controleer de optie DOMEIN.
Controleer de optie PRIVÉ.
Controleer de optie OPENBAAR.
Voer een beschrijving in bij de firewallregel.
Gefeliciteerd, je hebt de vereiste firewallregel gemaakt.
Met deze regel kan de Kubernetes-server de Active Directory-database opvragen.
Zelfstudie Windows - Domeinaccount maken
Vervolgens moeten we ten minste 2 accounts maken in de Active Directory-database.
Het ADMIN-account wordt gebruikt om in te loggen op het Kubernetes-dashboard.
Het BIND-account wordt gebruikt om de Active Directory-database op te vragen.
Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers
Maak een nieuw account in de container Gebruikers.
Een nieuw account met de naam: beheerder maken
Wachtwoord geconfigureerd voor de ADMIN-gebruiker: 123qwe..
Dit account wordt gebruikt om te verifiëren op de Kubernetes-webinterface.
Een nieuw account met de naam: binden
Wachtwoord geconfigureerd voor de BIND-gebruiker: kamisama123..
Kubernetes gebruikt dit account om Active Directory op te vragen.
Gefeliciteerd, je hebt de vereiste Active Directory-accounts gemaakt.
Zelfstudie Windows - Domeingroep maken
Vervolgens moeten we een groep maken in de Active Directory.
Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers
Maak een nieuwe groep in de container Gebruikers.
Maak een nieuwe groep met de naam: KUBERNETES-ADMIN.
Leden van deze groep hebben administratieve toestemming op het Kubernetes Dashboard.
Belangrijk! Voeg de admin-gebruiker toe als lid van de KUBERNETES-ADMIN.
Gefeliciteerd, u hebt de vereiste Active Directory-groep gemaakt.
Zelfstudie Kubernetes - Installatie van hoofdknooppunt
Installeer de lijst met vereiste pakketten.
Installeer de Docker-service.
Schakel de Docker-service in tijdens het opstarten.
Het configuratiebestand van de Docker-service bewerken.
Voeg de volgende configuratie toe aan het einde van het item met de naam: EXECSTART
Hier is het bestand voor onze configuratie.
Hier is het bestand na onze configuratie.
Een systeemconfiguratiebestand maken.
Hier is de inhoud van het bestand.
Schakel het systeemconfiguratiebestand in.
Bewerk het configuratiebestand met de naam: MODULES.CONF
Voeg de volgende configuratie toe aan het einde van dit bestand.
Bewerk het FSTAB-configuratiebestand en schakel het gebruik van Swapgeheugen uit.
Hier is het bestand voor onze configuratie.
Hier is het bestand na onze configuratie.
Stel een unieke hostnaam in.
Maak een bestand om de vereiste omgevingsvariabelen te configureren.
Hier is de inhoud van het bestand.
Start de computer opnieuw op.
Download en installeer de Kubernetes repository-sleutel.
Voeg de officiële Kubernetes repository toe.
Installeer de Kubernetes-pakketten.
Download de vereiste Kubernetes-afbeeldingen.
Hier is de opdrachtuitvoer.
Initialiseer het Kubernetes-cluster.
Hier is de opdrachtuitvoer.
Let op de opdracht om knooppunten toe te voegen aan het Kubernetes-cluster.
Stel de juiste bestandsmachtiging in voor het Configuratiebestand van Kubernetes.
Installeer de vereiste netwerkconfiguratie.
Standaard is het basisknooppunt Kubernetes niet toegestaan om PODS uit te voeren.
Schakel de optie het hoofdknooppunt van Kubernetes in om PODS uit te voeren.
In ons voorbeeld gebruiken we een kubernetes-cluster met één knooppunt.
Zelfstudie - Installatie van kubernetes-dashboard
Installeer de lijst met vereiste pakketten.
Download het vereiste YAML-bestand.
Installeer het Kubernetes-dashboard.
Hier is de opdrachtuitvoer.
Maak een serviceaccount voor het dashboard.
Configureer de rol clusterbeheerder naar het dashboardserviceaccount.
Maak een serviceaccount voor de Apache-proxy.
Configureer de rol clusterbeheerder naar het Apache-proxyaccount.
Vermeld het Apache-geheim dat beschikbaar is op de Kubernetes-server.
Hier is de opdrachtuitvoer.
Merk op dat de naam van je geheim niet hetzelfde zal zijn als de onze.
Krijg de waarde van het Apache-geheime token.
Hier is de opdrachtuitvoer.
Let op de Apache-tokenwaarde.
In ons voorbeeld is dit de tokenwaarde:
Het IP-adres van het dashboardservicecluster vermelden.
Hier is de opdrachtuitvoer.
Let op het IP-adres van het cluster en de TCP-poort.
In ons voorbeeld gebruikt het dashboardcluster de TCP-poort 443 en het IP-adres 10.107.55.24.
U bent klaar met de vereiste dashboardconfiguratie.
Kubernetes Proxy - Basisgebruikersverificatie met Apache
Installeer op het hoofdknooppunt de Apache-server.
Schakel de vereiste Apache-modules in.
Het Apache-configuratiebestand bewerken.
Voeg de volgende regels toe aan het einde van dit bestand.
Maak een privésleutel en certificaat met de opdracht OpenSSL.
Voer de gevraagde gegevens in.
In de optie met de naam COMMON_NAME moet u het IP-adres of de hostnaam invoeren.
In ons voorbeeld gebruiken we het IP-adres: 192.168.15.200
Converteer uw bestaande Kubernetes-proxycertificaat en de sleutel naar één bestand in de PEM-indeling.
Bewerk het Apache-configuratiebestand voor de standaardwebsite.
Hier is het bestand, voor onze configuratie.
Hier is het bestand, na onze configuratie.
Wijzig het IP-adres van de configuratie-items met de naam AUTHLDAPURL in het IP-adres van de domeincontroller.
Wijzig alle domeingegevens in Active Directory om uw omgeving weer te geven.
Wijzig het IP-adres van de configuratie-items met de naam PROXYPASS en PROXYPASSREVERSE op het IP-adres van het dashboardcluster.
Wijzig de tokenwaarde van de CI met de naam REQUESTHEADER in de eerder gemaakte Apache-geheime tokenwaarde.
In ons voorbeeld hebben we het gebruik van HTTPS ingeschakeld met behulp van zelf ondertekende certificaten.
In ons voorbeeld hebben we het gebruik van LDAP-verificatie geconfigureerd.
Apache vertegenwoordigt HTTPS-communicatie tussen de gebruiker en het IP-adres van het dashboardcluster.
Apache gebruikt een certificaat en sleutel die automatisch zijn gemaakt tijdens de installatie van de Kubernetes-server om wederzijdse TLS-verificatie uit te voeren op het dashboard.
De Apache-server voegt een koptekst toe aan alle pakketten die naar het dashboard worden verzonden.
Deze header heeft de naam AUTORISATIEDRAGER en bevat het geheime token dat eerder is gemaakt in de Apache-proxy.
Apache zal ook HTTP-gebruikers omleiden naar de HTTPS-versie van de gevraagde URL.
Start de Apache-service opnieuw.
Open uw browser en krijg toegang tot de HTTPS-versie van het IP-adres van de Apache-server.
In ons voorbeeld is de volgende URL ingevoerd in de browser:
• https://192.168.15.200
De Apache-server vereist dat u gebruikersverificatie uitvoert.
Na een succesvolle login moet het Kubernetes Dashboard worden gepresenteerd.
De Apache-proxy wordt automatisch geverifieerd naar het Kubernetes-dashboard met de functie: AUTH HEADER.
U hebt de configuratie van Apache als proxy voor het Kubernetes-dashboard voltooid.
