Kubernetes. HTTPS API de revenir "non autorisé"

Kubernetes demande d'API curl https://192.168.0.139 --cacert /home/mongeo/ku-certs/ca.pem retour Unauthorized

Demande curl localhost:8080 travaillé bien.

Mon kube-proxy et kube-apiserver standart (coreos+k8s tutoriel)

Comment puis-je obtenir des données sur HTTPS?

  • ajouter 443 adresse de port pour https
  • essayez curl 192.168.0.139:443 --cacert /home/mongeo/ku-certs/ca.pem
  • Singh ne l'aide pas
InformationsquelleAutor batazor | 2015-12-16
  1. 6

    Avez-vous préciser --token-auth-file=<file> et/ou --basic-auth-file=<otherfile> ou l'un des autres modes d'authentification? Je ne sais pas qui https point de terminaison de travail, sans que l'un de ces (peut-être qu'il devrait, mais il n'a pas, apparemment). Découvrez https://kubernetes.io/docs/admin/authentication/

    • Comment il va aider à ouvrir la page dans un navigateur? Le jeton doit être transmis dans cheder les demandes de page?
    InformationsquelleAutor Eric Tune
  2. 2

    Salut c'est ce que j'ai fait pour les token,

    1. Trouver l'adresse du Serveur de l'Api - ouvrez le fichier /etc/kubernetes/kubelet.conf -->exemple : serveur: https://10.1.32.120:6443
    2. Trouver jeton, ouvrez le fichier /etc/kubernetes/pki/jetons.csv --->exemple : 4c95a1a22d19b20811,kubeadm-nœud-rse,07ccbf35-e206-11e6-ab8f-0010184e550e,système:kubelet-bootstrap
    3. Dans ce cas, le jeton est —>4c95a1a22d19b20811
    4. Si l'utilisation de facteur, ajouter un en-tête —> Autorisation: Porteur 4c95a1a22d19b20811
    InformationsquelleAutor SyamAhmad
  3. 1

    Un moyen simple d'accéder à la Kubernetes API à partir d'un réseau externe est de créer un Le tunnel SSH, par exemple

    ssh -L 9000:localhost:8080 [email protected]

    Cela permettra de transférer la connexion à partir de votre port local 9000 à localhost:8080 sur votre serveur.

    Tant que le tunnel SSH est ouvert, vous pouvez interroger l'API sur le port 9000 de votre machine.

    • kubectl proxy est un moyen plus facile de mettre en place un tunnel http, le serveur d'API.
    InformationsquelleAutor Gajus
  4. 0

    Il y a plusieurs façons de s'authentifier dans l'API. Façon la plus simple pour vous d'obtenir autorisé est à envoyer à l'en-tête d'Authentification avec "le porteur de TOKEN_VALUE" de la valeur. Vous pouvez regarder Kubernetes API de configuration sur votre serveur pour rechercher défini de jetons. L'en-tête peut être envoyé avec la requête http à l'aide du navigateur web de l'extension.

    InformationsquelleAutor
  5. 0

    enfin, j'ai compris cela:

    lincai@pdbuddy:~/blackbox$ curl -v --cacert ./ca.pem --key ./admin-key.pem --cert ./admin.pem  https://xxxx/api/v1/
* Hostname was NOT found in DNS cache

> 
< HTTP/1.1 200 OK
    • Super! Si vous souhaitez utiliser un fichier à partir du répertoire courant, merci de faire précéder par "./" préfixe, afin d'éviter toute confusion avec un surnom.
    InformationsquelleAutor reachlin
  6. -3
    curl https://192.168.0.139 —key ./admin-key.pem —cert ./admin.pem —cacert ./ca.pem
    • Ajouter une explication pour l'OP. Il va l'aider à mieux comprendre.
    InformationsquelleAutor batazor