Kubernetes 如何在kops上禁用基本身份验证文件?库伯内特斯
我正在试图找到一种方法来禁用集群上的Kubernetes 如何在kops上禁用基本身份验证文件?库伯内特斯,kubernetes,kops,Kubernetes,Kops,我正在试图找到一种方法来禁用集群上的--基本身份验证文件 有人能帮我吗?您可以直接从/etc/kubernetes/manifests/kube-apiserver.yaml文件中禁用它。比如说 apiVersion: v1 kind: Pod metadata: annotations: scheduler.alpha.kubernetes.io/critical-pod: "" creationTimestamp: null labels: component:
--基本身份验证文件
有人能帮我吗?您可以直接从/etc/kubernetes/manifests/kube-apiserver.yaml
文件中禁用它。比如说
apiVersion: v1
kind: Pod
metadata:
annotations:
scheduler.alpha.kubernetes.io/critical-pod: ""
creationTimestamp: null
labels:
component: kube-apiserver
tier: control-plane
name: kube-apiserver
namespace: kube-system
spec:
containers:
- command:
- kube-apiserver
- --basic-auth-file=xxxxx . <===== Remove this line
- --authorization-mode=Node,RBAC
- --advertise-address=xxxxxx
- --allow-privileged=true
- --client-ca-file=/etc/kubernetes/pki/ca.crt
- --cloud-provider=aws
- --disable-admission-plugins=PersistentVolumeLabel
- --enable-admission-plugins=NodeRestriction,DefaultStorageClass,NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
- --enable-bootstrap-token-auth=true
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
- --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
- --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
- --etcd-servers=https://127.0.0.1:2379
- --insecure-port=0
- --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
- --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
- --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
- --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
- --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
- --requestheader-allowed-names=front-proxy-client
- --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
- --requestheader-extra-headers-prefix=X-Remote-Extra-
- --requestheader-group-headers=X-Remote-Group
- --requestheader-username-headers=X-Remote-User
- --secure-port=6443
- --service-account-key-file=/etc/kubernetes/pki/sa.pub
- --service-cluster-ip-range=10.96.0.0/12
- --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
- --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
image: k8s.gcr.io/kube-apiserver-amd64:v1.11.2
imagePullPolicy: IfNotPresent
livenessProbe:
failureThreshold: 8
httpGet:
host: 172.31.1.118
path: /healthz
port: 6443
scheme: HTTPS
initialDelaySeconds: 15
timeoutSeconds: 15
name: kube-apiserver
resources:
requests:
cpu: 250m
volumeMounts:
- mountPath: /etc/kubernetes/pki
name: k8s-certs
readOnly: true
- mountPath: /etc/ssl/certs
name: ca-certs
readOnly: true
- mountPath: /usr/share/ca-certificates
name: usr-share-ca-certificates
readOnly: true
- mountPath: /usr/local/share/ca-certificates
name: usr-local-share-ca-certificates
readOnly: true
- mountPath: /etc/ca-certificates
name: etc-ca-certificates
readOnly: true
hostNetwork: true
priorityClassName: system-cluster-critical
volumes:
- hostPath:
path: /etc/kubernetes/pki
type: DirectoryOrCreate
name: k8s-certs
- hostPath:
path: /etc/ssl/certs
type: DirectoryOrCreate
name: ca-certs
- hostPath:
path: /usr/share/ca-certificates
type: DirectoryOrCreate
name: usr-share-ca-certificates
- hostPath:
path: /usr/local/share/ca-certificates
type: DirectoryOrCreate
name: usr-local-share-ca-certificates
- hostPath:
path: /etc/ca-certificates
type: DirectoryOrCreate
name: etc-ca-certificates
status: {}
apiVersion:v1
种类:豆荚
元数据:
注释:
scheduler.alpha.kubernetes.io/critical-pod:“
creationTimestamp:空
标签:
组件:kube apiserver
层:控制平面
名称:kube apiserver
名称空间:kube系统
规格:
容器:
-命令:
-kube apiserver
---基本身份验证文件=xxxxx 根据您的评论,您正在使用KOP部署集群。在kops情况下,需要添加以下行以禁用--basic auth file标志
kops edit cluster --name <clustername> --state <state_path>
spec:
kubeAPIServer:
disableBasicAuth: true
kops编辑集群--名称--状态
规格:
kubeAPIServer:
不可否认的基本假设:正确
spec和kubeAPIServer可能已经存在于集群配置中
要应用更改,您需要运行
kops update cluster --name <clustername> --state <state_path> <--yes>
kops更新集群--名称--状态
并进行滚动升级
kops update cluster --name <clustername> --state <state_path> <--yes>
kops更新集群--名称--状态
如果您在没有--yes的情况下运行命令,它将基本上向您显示它将要做什么,如果--yes,它将应用更改/滚动集群
遗憾的是,KOPS有点缺乏关于您可以在集群配置yaml中使用哪些选项的文档,我能找到的最好的是它们的API定义:
我正在使用kops。如果我像你说的那样编辑我的主节点,当我需要创建一个新的主节点时,将与旧的conf一起提供。我需要一种方法来配置这一行的kops到永久版。如果我有一个kubernetes安装从头开始可以做你说的。我相信kops有饼干刀配置。i、 e(特定AMI),但我可能错了。我想kops允许您使用--image string
选项。因此,您可以创建自己的AMI,并以某种方式使其更改配置。否则,您可能必须将更改上传到kops。在运行api服务器的主机上,没有kube-apiserver.yaml
文件,而是有kube-apiserver.manifest
。我不完全确定他们是否只更改了文件扩展名,因为内容看起来是一样的。我试图编辑kube-apiserver.manifest
文件,但在删除--basic auth file
后,api服务器拒绝启动。