Панель мониторинга Kubernetes - Проверка подлинности пользователя с помощью Nginx и шаг за шагом

Хотите узнать, как установить панель мониторинга Kubernetes, настроить Nginx в качестве прокси-сервера и контролировать аутентификацию пользователей с помощью Nginx? В этом учебнике мы покажем вам, как установить панель мониторинга Kubernetes и включить использование Nginx в качестве прокси-сервера проверки подлинности на компьютере под управлением Ubuntu Linux.

• Ubuntu 20
• Ubuntu 19
• Ubuntu 18
• Kubernetes 1.18

В этом руководстве будет установлен кластер Кубернетов с одним узлом.

В нашем примере IP-адрес Мастер узла Kubernetes составляет 192.168.15.200.

Кубернетес - Учебники

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Kubernetes.

Учебник Kubernetes - Установка мастер узла

Установите список необходимых пакетов.

Copy to Clipboard

Установите службу Docker.

Copy to Clipboard

Включите службу Docker во время загрузки.

Copy to Clipboard

Отредактируйте файл конфигурации службы Docker.

Copy to Clipboard

Добавьте следующую конфигурацию в конце названного элемента: EXECSTART

Copy to Clipboard

Вот файл перед нашей конфигурацией.

Copy to Clipboard

Вот файл после нашей конфигурации.

Copy to Clipboard

Создание файла конфигурации системы.

Copy to Clipboard

Вот содержимое файла.

Copy to Clipboard

Включить файл конфигурации системы.

Copy to Clipboard

Редактировать файл конфигурации под названием: MODULES. Conf

Copy to Clipboard

Добавьте следующую конфигурацию в конце этого файла.

Copy to Clipboard

Отредактируйте файл конфигурации FSTAB и отключите использование памяти Swap.

Copy to Clipboard

Вот файл перед нашей конфигурацией.

Copy to Clipboard

Вот файл после нашей конфигурации.

Copy to Clipboard

Установите уникальное имя хоста.

Copy to Clipboard

Создайте файл для настройки требуемых переменных среды.

Copy to Clipboard

Вот содержимое файла.

Copy to Clipboard

Перезагрузка компьютера.

Copy to Clipboard

Скачать и установить ключ репозитория Kubernetes.

Copy to Clipboard

Добавьте официальный репозиторий Kubernetes.

Copy to Clipboard

Установите пакеты Kubernetes.

Copy to Clipboard

Скачать необходимые изображения Kubernetes.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Инициализировать кластер Кубернетов.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Обратите внимание на команду, чтобы добавить узлы в кластер Kubernetes.

Copy to Clipboard

Установите правильное разрешение файла в файле конфигурации Kubernetes.

Copy to Clipboard

Установите необходимую конфигурацию сети.

Copy to Clipboard

По умолчанию мастер-узел Kubernetes не может запускать PODS.

Дополнительно включите мастер-узел Kubernetes для запуска PODS.

Copy to Clipboard

В нашем примере мы используем одно узловой кластер Kubernetes.

Учебник - Установка панели панели Kubernetes

Установите список необходимых пакетов.

Copy to Clipboard

Скачать необходимый файл YAML.

Copy to Clipboard

Установите приборную панель Kubernetes.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Создайте учетную запись службы для Панели мониторинга.

Copy to Clipboard

Настройте роль администратора кластера на учетную запись службы Dashboard.

Copy to Clipboard

Создайте учетную запись службы для прокси-сервера Nginx.

Copy to Clipboard

Настройте роль администратора кластера на прокси-аккаунт Nginx.

Copy to Clipboard

Перечислите секрет Nginx, доступный на сервере Kubernetes.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Обратите внимание, что имя вашего секрета не будет таким же, как у нас.

Получите секретное значение токена Nginx.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Name:         nginx-proxy-token-h6f4l
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: nginx-proxy
              kubernetes.io/service-account.uid: cdd45665-99dd-49f7-8801-f33110c30209

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJuZ2lueC1wcm94eS10b2tlbi1oNmY0bCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJuZ2lueC1wcm94eSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImNkZDQ1NjY1LTk5ZGQtNDlmNy04ODAxLWYzMzExMGMzMDIwOSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTpuZ2lueC1wcm94eSJ9.l8fOU4_NTvYvJW3sAznwLxV6EGUhJPidCge2qCbJMoYJ1vkRc2dLkPxZebjx-_mnYYf5vP7jVCR2RlHV_ozHV31YFQrkOIs09JmMIXmSoN6jWfxkePIeWW33WVP2h836fmNChM8XWthVgKq5bfNav83q-lyHnFZbfnsZiJ2TTxJPAhlsZETuhx2szhN9qfFIoQMU357QO5pepkomXRLvPnMSLnsFarx2_0tLZ36OqPCs0L8czikKqtWu-6bwKuNdSNf-iZEnSoSakWvG2i_51tjskt4aFjNyamIEzXj-w11Dka6WB-0Lgz5cwBtBAOjHiPLmFM8mGGBhQomRJKEdVA

Принять к сведению значение токена Nginx.

В нашем примере это значение токена:

Copy to Clipboard

Перечислите IP-адрес кластера службы Dashboard.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Обратите внимание на кластерный IP-адрес и порт TCP.

В нашем примере кластер Dashboard использует порт TCP 443 и IP-адрес 10.107.55.24.

Вы закончили необходимую конфигурацию панели мониторинга.

Kubernetes Прокси - Базовая аутентификация пользователя с помощью Nginx

На сервере Master установите сервер Nginx.

Copy to Clipboard

Создайте файл паролей Nginx и добавьте первую учетную запись пользователя.

Copy to Clipboard

Система попросит вас ввести пароль к новой учетной записи пользователя.

Copy to Clipboard

Вот содержимое файла.

Copy to Clipboard

Для создания дополнительных учетных записей пользователей используйте следующую команду.

Copy to Clipboard

Создайте закрытый ключ и сертификат с помощью команды OpenSSL.

Copy to Clipboard

Введите запрашиваемую информацию.

Copy to Clipboard

На опцию, названную COMMON_NAME, необходимо ввести IP-адрес или имя хоста.

В нашем примере мы использовали IP-адрес: 192.168.15.200

Отредактируйте файл конфигурации Nginx для веб-сайта по умолчанию.

Copy to Clipboard

Вот файл, перед нашей конфигурацией.

Copy to Clipboard

Вот файл, после нашей конфигурации.

Copy to Clipboard

server {
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
        ssl_certificate /etc/nginx/certificate/nginx-certificate.crt;
        ssl_certificate_key /etc/nginx/certificate/nginx.key;
        root /var/www/html;
        index index.html index.htm index.nginx-debian.html;
        server_name _;
        auth_basic "Secure area - Authentication required";
        auth_basic_user_file /etc/nginx/.htpasswd;
        location / {
                proxy_pass https://10.107.55.24:443;
                proxy_ssl_certificate     /etc/kubernetes/pki/front-proxy-client.crt;
                proxy_ssl_certificate_key     /etc/kubernetes/pki/front-proxy-client.key;
                proxy_ssl_trusted_certificate  /etc/kubernetes/pki/ca.crt;
                proxy_set_header Authorization "Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6InhrMHFrdEdYQ1gxVlRqZjBpN1hxdEgwaTlRRENMWmhUdC1IMC13OTgyM28ifQ.eyJpc3Mi iJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2V cmV0Lm5hbWUiOiJuZ2lueC1wcm94eS10b2tlbi1oNmY0bCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJuZ2lueC1wcm94eSIsImt1YmVybmV0ZXMuaW vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImNkZDQ1NjY1LTk5ZGQtNDlmNy04ODAxLWYzMzExMGMzMDIwOSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3Rlb puZ2lueC1wcm94eSJ9.l8fOU4_NTvYvJW3sAznwLxV6EGUhJPidCge2qCbJMoYJ1vkRc2dLkPxZebjx-_mnYYf5vP7jVCR2RlHV_ozHV31YFQrkOIs09JmMIXmSoN6jWfxkePIeWW33WVP2h836fmNChM8 WthVgKq5bfNav83q-lyHnFZbfnsZiJ2TTxJPAhlsZETuhx2szhN9qfFIoQMU357QO5pepkomXRLvPnMSLnsFarx2_0tLZ36OqPCs0L8czikKqtWu-6bwKuNdSNf-iZEnSoSakWvG2i_51tjskt4aFjNyam EzXj-w11Dka6WB-0Lgz5cwBtBAOjHiPLmFM8mGGBhQomRJKEdVA";
        }
}

Измените IP-адрес элемента конфигурации, названного PROXY_PASS на IP-адрес кластера Dashboard.

Измените значение токена элемента конфигурации, названного PROXY_SET_HEADER, на ранее созданное значение токена Nginx.

В нашем примере мы позволили использовать HTTPS с помощью самоподписанные сертификаты.

Copy to Clipboard

В нашем примере мы настроили использование базовой аутентификации Nginx.

Copy to Clipboard

Nginx будет прокси-сообщение HTTPS между пользователем и IP-адресом кластера Dashboard.

Copy to Clipboard

Nginx будет использовать сертификат и ключ, автоматически созданные во время установки сервера Kubernetes, для выполнения взаимной проверки подлинности TLS на Dashboard.

Copy to Clipboard

Сервер Nginx добавит заголовок ко всем пакетам, отправленным в Dashboard.

Этот заголовок называется AUTHORIZATION BEARER и содержит секретный маркер, ранее созданный для прокси Nginx.

Copy to Clipboard

Перезапустите сервис Nginx.

Copy to Clipboard

Откройте браузер и получите доступ к версии IP-адреса сервера Nginx.

В нашем примере в браузер был введен следующий URL::

• https://192.168.15.200

Сервер Nginx потребует от вас выполнения проверки подлинности пользователя.

Kubernetes Dashboard Proxy Authentication

После успешного входа должна быть представлена панель Kubernetes.

Прокси-сервер Nginx автоматически выполняет аутентификацию на панели мониторинга Kubernetes с помощью функции под названием: AUTH HEADER.

Kubernetes dashboard Authorization bearer

Вы успешно завершили конфигурацию Nginx в качестве прокси-сервера панели Kubernetes.

Панель мониторинга Kubernetes - Проверка подлинности пользователя с помощью Nginx