如何更新本地Kubernetes API服务器以启用带Dex的OIDC?
我们在数据中心有一个内部部署的kubernetes。我刚刚完成了Dex的pods部署,配置为与我们的LDAP服务器连接,允许通过Dex进行基于LDAP的身份验证,运行了测试,并且能够检索OpenID connect令牌进行身份验证 现在,我想更改我们的预置K8SAPI服务器启动参数,以启用OIDC并将其指向Dex容器 如何在不停机的情况下将OIDC启用到API服务器启动命令?正在阅读此文档,但网站只是说“启用所需的标志”,没有步骤如何更新本地Kubernetes API服务器以启用带Dex的OIDC?,kubernetes,openid-connect,kubernetes-apiserver,Kubernetes,Openid Connect,Kubernetes Apiserver,我们在数据中心有一个内部部署的kubernetes。我刚刚完成了Dex的pods部署,配置为与我们的LDAP服务器连接,允许通过Dex进行基于LDAP的身份验证,运行了测试,并且能够检索OpenID connect令牌进行身份验证 现在,我想更改我们的预置K8SAPI服务器启动参数,以启用OIDC并将其指向Dex容器 如何在不停机的情况下将OIDC启用到API服务器启动命令?正在阅读此文档,但网站只是说“启用所需的标志”,没有步骤 谢谢 OIDC标志用于Kubernetes API服务器。您没有
谢谢 OIDC标志用于Kubernetes API服务器。您没有提到如何在prem上安装Kubernetes。理想情况下,您应该有多个主节点,由负载平衡器前置 因此,您将禁用从loadbalancer到一个主节点的通信,并登录到该主节点,在
/etc/kubernetes/manifests
中编辑api服务器的清单,并添加OIDC标志。更改清单api后,服务器pod将自动重新启动
对所有主节点重复相同的过程,因为在任何给定时间点至少有一个主节点可用,因此不应出现任何停机。我几个月前在kubeadmn安装的群集上安装了Dex+Active Directory Integration 假设Dex现在正在运行,并且可以通过 在这种情况下 在API服务器级别启用ODIC有3个步骤: 必须在每个Kubernetes主节点上执行这些步骤 1-SSH到主节点。
$sshroot@master-知识产权
2-编辑Kubernetes API配置。
添加OIDC参数并相应修改颁发者URL
$sudo vim/etc/kubernetes/manifests/kube-apiserver.yaml
...
命令:
-/hyperkube
-apiserver
---播发地址=x.x.x.x
...
---oidc颁发者url=https://dex.example.com #谢谢!我们通过运行kubeadminit--config=/etc/kubernetes/config.yaml
通过kubeadm部署了我们的控制平面。我们的主节点前面没有任何负载平衡器,只有3个主节点的DNS循环,但在它们前面有一个LB可能是一个好主意解决方案完全兼容kubeadm
安装。非常感谢!这就是我要找的!