vault-使用kubernetes作为认证后端
vault使用kubernetes认证
配置
vault可以使用kubernetes的serviceaccount进 行认证
#在kubernetes为vault创建serviceaccount账号,用于调用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk '{print $1}'|xargs kubectl get -o yaml secret
把图中的ca.crt以及token用base64解码得到证书
# 使用vault-cli配置kubernetes认证 vault auth enable kubernetes
#token_reviewer_jwt是上图中token用base64解码的值 # kubernetes_host是kubernetes-api-server的地址 # kubernetes_ca_cert是上图中ca.crt用base64解码的值存储的文件路径, vault write auth/kubernetes/config \token_reviewer_jwt="reviewer_service_account_jwt" \kubernetes_host=https://192.168.99.100:8443 \kubernetes_ca_cert=@ca.crt
# 允许vault调用kubernetes的sa-api # cat rbac.yaml apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: role-tokenreview-binding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:auth-delegator subjects: - kind: ServiceAccount name: vault-auth namespace: default #kubectl apply -f rbac.yaml
使用kubernetes的serviceaccount认证
vault创建role
vault write auth/kubernetes/role/demo \bound_service_account_names=vault-auth \bound_service_account_namespaces=default \policies=default \ttl=1h
认证
#role对应vault里面创建的role,jwt对应kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d '{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}'
本文转自SegmentFault-vault-使用kubernetes作为认证后端
vault-使用kubernetes作为认证后端相关推荐
- Kubernetes CKA认证运维工程师笔记-Kubernetes网络
Kubernetes CKA认证运维工程师笔记-Kubernetes网络 1. Service 存在的意义 2. Pod与Service的关系 3. Service三种常用类型 4. Service代 ...
- WiseCloud成为全球首批Kubernetes官方认证平台产品-CNCF官方发布
[新闻快讯]11月13日美国时间,CNCF在旧金山正式对外发布Kubernetes软件一致性项目,并对外公布了包括睿云智合WiseCloud在内的全球32家率先通过认证测试的平台产品及Kubernet ...
- WiseCloud成为全球首批Kubernetes官方认证平台产品-睿云智合
11月13日美国时间,CNCF在旧金山正式对外发布Kubernetes软件一致性项目,并对外公布了包括睿云智合WiseCloud在内的全球32家率先通过认证测试的平台产品及Kubernetest分发版 ...
- Kubernetes CKA认证运维工程师笔记-Docker快速入门
Kubernetes CKA认证运维工程师笔记-Docker快速入门 1. Docker 概念与安装 1.1 Docker 是什么 1.2 Docker 基本组成 1.3 版本与支持平台 1.4 Do ...
- Kubernetes一致性认证
Kubernetes一致性认证 Certified Kubernetes是CNCF基金会在2018年推出的Kubernetes一致性认证计划.它由CNCF基金会提供的一套诊断测试工具(Sonobuoy ...
- 前端系统和后端服务器怎么通信,Kubernetes前端和后端之间的通信
对于本地开发,我有一个工作的minikube.我们有不同的服务部署.现在我想将前端连接到后端.Kubernetes前端和后端之间的通信 前端是一个角度的应用程序,并在其自己的服务生活. 后端是一个no ...
- 精灵云容器云平台通过Kubernetes一致性认证
Ghostcloud精灵云专为企业级用户打造的容器云平台EcOS日前通过Kubernetes一致性认证(Certified Kubernetes Conformance Program) .IBM.微 ...
- 产品如何做Kubernetes一致性认证
Certified Kubernetes是CNCF基金会在2018年推出的Kubernetes一致性认证计划.它由CNCF基金会提供的一套诊断测试工具(Sonobuoy)并运行在Kubernetes中 ...
- Kubernetes CKA认证运维工程师笔记-Kubernetes安全
Kubernetes CKA认证运维工程师笔记-Kubernetes安全 1. Kubernetes安全框架 2. 鉴权,授权,准入控制 2.1 鉴权 2.2 授权 2.3 准入控制 3. 基于角色的 ...
最新文章
- JAVA面试相关基础知识
- 新书上市 | 数学不好,Python不行,还能入门机器学习吗?
- excel 小知识汇总
- oracle dbv使用详解
- CSS图像绘制之:条纹背景(转)
- Linux系统管理_附加控制权限-Redhat Enterprise 5
- 使用和编辑Mac的特殊触摸板命令?你值得一看
- 首页增加了“阅读排行”
- 几款主流好用的markdown编辑器介绍
- Eclipse的下载与安装以及JDK环境的配置
- Oracle数据脱敏
- Ubuntu添加开机自动启动程序的方法
- 纹理(讲得比较详细的文章)
- SmartX联手沃云打造全新超融合公有云背后技术解析
- 系统吞吐量、QPS、并发数、响应时间,以及提高吞吐量的思路
- android设计架构之MVC、MVP、MVVM的理解
- 算法---程序的灵魂,没错就是灵魂!
- Qt 基于http的网络文件下载
- 基站通信设备接地引起的串口通信异常分析
- 23年PMP备考攻略+资料分享