Wilt u weten hoe u Kubernetes LDAP-verificatie configureren in Active Directory? In deze zelfstudie laten we u zien hoe u Kubernetes-dashboardgebruikers verifiëren met Behulp van Windows Active Directory en het LDAP-protocol.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

Met deze zelfstudie wordt een Kubernetes-cluster met één knooppunt geïnstalleerd.

In ons voorbeeld is het IP-adres van het Kubernetes masterknooppunt 192.168.15.200.

In ons voorbeeld is het IP-adres van de domeincontroller 192.168.15.10.

Kubernetes – Zelfstudies

Op deze pagina bieden we snel toegang tot een lijst met tutorials met betrekking tot Kubernetes.

Zelfstudie Windows – Firewall voor domeincontroller

• IP – 192.168.15.10
• Operacional System – WINDOWS 2012 R2
• Hostname – TECH-DC01

Ten eerste moeten we een firewallregel maken op de Windows-domeincontroller.

Met deze firewallregel kan de Kubernetes-server de Active-map opvragen.

Open op de domeincontroller de toepassing met de naam Windows Firewall met Geavanceerde beveiliging

Maak een nieuwe inkomende firewallregel.

zabbix active directory

Selecteer de optie POORT.

zabbix windows firewall port

Selecteer de optie TCP.

Selecteer de optie Specifieke lokale poorten.

Voer de TCP-poort 389 in.

zabbix windows firewall port ldap

Selecteer de optie Verbinding toestaan.

zabbix windows firewall allow connection

Controleer de optie DOMEIN.

Controleer de optie PRIVÉ.

Controleer de optie OPENBAAR.

Zabbix windows firewall profile

Voer een beschrijving in bij de firewallregel.

windows firewall active directory

Gefeliciteerd, je hebt de vereiste firewallregel gemaakt.

Met deze regel kan de Kubernetes-server de Active Directory-database opvragen.

Zelfstudie Windows – Domeinaccount maken

Vervolgens moeten we ten minste 2 accounts maken in de Active Directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op het Kubernetes-dashboard.

Het BIND-account wordt gebruikt om de Active Directory-database op te vragen.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Zabbix active directory account

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de ADMIN-gebruiker: 123qwe..

Dit account wordt gebruikt om te verifiëren op de Kubernetes-webinterface.

active directory admin account
zabbix active directory admin properties

Een nieuw account met de naam: binden

Wachtwoord geconfigureerd voor de BIND-gebruiker: kamisama123..

Kubernetes gebruikt dit account om Active Directory op te vragen.

active directory bind account
zabbix active directory ldap bind properties

Gefeliciteerd, je hebt de vereiste Active Directory-accounts gemaakt.

Zelfstudie Windows – Domeingroep maken

Vervolgens moeten we een groep maken in de Active Directory.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuwe groep in de container Gebruikers.

Grafana active directory group

Maak een nieuwe groep met de naam: KUBERNETES-ADMIN.

Leden van deze groep hebben administratieve toestemming op het Kubernetes Dashboard.

Kubernetes LDAP authentication group

Belangrijk! Voeg de admin-gebruiker toe als lid van de KUBERNETES-ADMIN.

Kubernetes LDAP Active directory group

Gefeliciteerd, u hebt de vereiste Active Directory-groep gemaakt.

Zelfstudie Kubernetes – Installatie van hoofdknooppunt

Installeer de lijst met vereiste pakketten.

Copy to Clipboard

Installeer de Docker-service.

Copy to Clipboard

Schakel de Docker-service in tijdens het opstarten.

Copy to Clipboard

Het configuratiebestand van de Docker-service bewerken.

Copy to Clipboard

Voeg de volgende configuratie toe aan het einde van het item met de naam: EXECSTART

Copy to Clipboard

Hier is het bestand voor onze configuratie.

Copy to Clipboard

Hier is het bestand na onze configuratie.

Copy to Clipboard

Een systeemconfiguratiebestand maken.

Copy to Clipboard

Hier is de inhoud van het bestand.

Copy to Clipboard

Schakel het systeemconfiguratiebestand in.

Copy to Clipboard

Bewerk het configuratiebestand met de naam: MODULES.CONF

Copy to Clipboard

Voeg de volgende configuratie toe aan het einde van dit bestand.

Copy to Clipboard

Bewerk het FSTAB-configuratiebestand en schakel het gebruik van Swapgeheugen uit.

Copy to Clipboard

Hier is het bestand voor onze configuratie.

Copy to Clipboard

Hier is het bestand na onze configuratie.

Copy to Clipboard

Stel een unieke hostnaam in.

Copy to Clipboard

Maak een bestand om de vereiste omgevingsvariabelen te configureren.

Copy to Clipboard

Hier is de inhoud van het bestand.

Copy to Clipboard

Start de computer opnieuw op.

Copy to Clipboard

Download en installeer de Kubernetes repository-sleutel.

Copy to Clipboard

Voeg de officiële Kubernetes repository toe.

Copy to Clipboard

Installeer de Kubernetes-pakketten.

Copy to Clipboard

Download de vereiste Kubernetes-afbeeldingen.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Initialiseer het Kubernetes-cluster.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Let op de opdracht om knooppunten toe te voegen aan het Kubernetes-cluster.

Copy to Clipboard

Stel de juiste bestandsmachtiging in voor het Configuratiebestand van Kubernetes.

Copy to Clipboard

Installeer de vereiste netwerkconfiguratie.

Copy to Clipboard

Standaard is het basisknooppunt Kubernetes niet toegestaan om PODS uit te voeren.

Schakel de optie het hoofdknooppunt van Kubernetes in om PODS uit te voeren.

Copy to Clipboard

In ons voorbeeld gebruiken we een kubernetes-cluster met één knooppunt.

Zelfstudie – Installatie van kubernetes-dashboard

Installeer de lijst met vereiste pakketten.

Copy to Clipboard

Download het vereiste YAML-bestand.

Copy to Clipboard

Installeer het Kubernetes-dashboard.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Maak een serviceaccount voor het dashboard.

Copy to Clipboard

Configureer de rol clusterbeheerder naar het dashboardserviceaccount.

Copy to Clipboard

Maak een serviceaccount voor de Apache-proxy.

Copy to Clipboard

Configureer de rol clusterbeheerder naar het Apache-proxyaccount.

Copy to Clipboard

Vermeld het Apache-geheim dat beschikbaar is op de Kubernetes-server.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Merk op dat de naam van je geheim niet hetzelfde zal zijn als de onze.

Krijg de waarde van het Apache-geheime token.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Let op de Apache-tokenwaarde.

In ons voorbeeld is dit de tokenwaarde:

Copy to Clipboard

Het IP-adres van het dashboardservicecluster vermelden.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Let op het IP-adres van het cluster en de TCP-poort.

In ons voorbeeld gebruikt het dashboardcluster de TCP-poort 443 en het IP-adres 10.107.55.24.

U bent klaar met de vereiste dashboardconfiguratie.

Kubernetes Proxy – Basisgebruikersverificatie met Apache

Installeer op het hoofdknooppunt de Apache-server.

Copy to Clipboard

Schakel de vereiste Apache-modules in.

Copy to Clipboard

Het Apache-configuratiebestand bewerken.

Copy to Clipboard

Voeg de volgende regels toe aan het einde van dit bestand.

Copy to Clipboard

Maak een privésleutel en certificaat met de opdracht OpenSSL.

Copy to Clipboard

Voer de gevraagde gegevens in.

Copy to Clipboard

In de optie met de naam COMMON_NAME moet u het IP-adres of de hostnaam invoeren.

In ons voorbeeld gebruiken we het IP-adres: 192.168.15.200

Converteer uw bestaande Kubernetes-proxycertificaat en de sleutel naar één bestand in de PEM-indeling.

Copy to Clipboard

Bewerk het Apache-configuratiebestand voor de standaardwebsite.

Copy to Clipboard

Hier is het bestand, voor onze configuratie.

Copy to Clipboard

Hier is het bestand, na onze configuratie.

Copy to Clipboard

Wijzig het IP-adres van de configuratie-items met de naam AUTHLDAPURL in het IP-adres van de domeincontroller.

Wijzig alle domeingegevens in Active Directory om uw omgeving weer te geven.

Wijzig het IP-adres van de configuratie-items met de naam PROXYPASS en PROXYPASSREVERSE op het IP-adres van het dashboardcluster.

Wijzig de tokenwaarde van de CI met de naam REQUESTHEADER in de eerder gemaakte Apache-geheime tokenwaarde.

In ons voorbeeld hebben we het gebruik van HTTPS ingeschakeld met behulp van zelf ondertekende certificaten.

Copy to Clipboard

In ons voorbeeld hebben we het gebruik van LDAP-verificatie geconfigureerd.

Copy to Clipboard

Apache vertegenwoordigt HTTPS-communicatie tussen de gebruiker en het IP-adres van het dashboardcluster.

Copy to Clipboard

Apache gebruikt een certificaat en sleutel die automatisch zijn gemaakt tijdens de installatie van de Kubernetes-server om wederzijdse TLS-verificatie uit te voeren op het dashboard.

Copy to Clipboard

De Apache-server voegt een koptekst toe aan alle pakketten die naar het dashboard worden verzonden.

Deze header heeft de naam AUTORISATIEDRAGER en bevat het geheime token dat eerder is gemaakt in de Apache-proxy.

Copy to Clipboard

Apache zal ook HTTP-gebruikers omleiden naar de HTTPS-versie van de gevraagde URL.

Copy to Clipboard

Start de Apache-service opnieuw.

Copy to Clipboard

Open uw browser en krijg toegang tot de HTTPS-versie van het IP-adres van de Apache-server.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• https://192.168.15.200

De Apache-server vereist dat u gebruikersverificatie uitvoert.

Kubernetes Dashboard Proxy Authentication

Na een succesvolle login moet het Kubernetes Dashboard worden gepresenteerd.

Kubernetes Dashboard

De Apache-proxy wordt automatisch geverifieerd naar het Kubernetes-dashboard met de functie: AUTH HEADER.

Kubernetes dashboard Authorization bearer

U hebt de configuratie van Apache als proxy voor het Kubernetes-dashboard voltooid.