Was ist passiert : Der Versuch, tsh login -i identity_file.pem --proxy teleport.example.com
auszuführen, führt zu error: -i flag cannot be used here
- dies bedeutet, dass ein langlebiges Zertifikat (wie diejenigen, die für die Verwendung mit der Automatisierung gemäß https://gravitational.com/teleport/ generiert wurden) docs/user-manual/#ssh-certificates-for-automation) kann sich nicht bei einem Cluster anmelden, um ~/.kube/config
mit Kubernetes-Anmeldeinformationen aktualisieren zu lassen.
Was Sie erwartet haben: Eine Methode zur Authentifizierung mit dem Kubernetes-Apiserver sowie mit SSH zur Verfügung zu haben.
Die Empfehlung von @klizhentas lautet, tctl auth export --kubeconfig
zu implementieren, wodurch eine kubeconfig für den angegebenen Benutzer generiert wird, die kubectl
bereitgestellt und zum Ausführen von Operationen auf dem Kubernetes-Cluster verwendet werden kann.
So reproduzieren Sie es (so minimal und genau wie möglich) : tsh login -i identity_file.pem --proxy teleport.example.com
Umgebung :
teleport version
): Teleport Enterprise v4.0.0git:v4.0.0-0-gc7f55ac3 go1.12.1
tsh version
): Teleport v3.2.6 git:v3.2.6-0-g67b4ddfb go1.11.5
Fedora 29
Das wäre toll!
tctl auth export
bereits das --type
Flag. Vielleicht sollten wir --type=k8s
(und auch --type=kubernetes
) hinzufügen.
Andernfalls erhalten Sie inkompatible Flags wie auth export --kubeconfig --type=host
, was keinen Sinn macht
Gibt es ein Update, wann dies priorisiert wird?
Mir ist aufgefallen, dass es von den Veröffentlichungen weggelassen wurde. Ohne dies oder etwas Ähnliches ist Teleport für die Bereitstellung in Kubernetes-Clustern mit einer CI/Automatisierung unbrauchbar.
Untersuche das.
Nur eine Korrektur zu den obigen Kommentaren: tctl auth export
CA-Zertifikate und öffentliche Schlüssel aus; Ich denke, @klizhentas meinte stattdessen tctl auth sign --format=kubernetes
.
Hilfreichster Kommentar
Gibt es ein Update, wann dies priorisiert wird?
Mir ist aufgefallen, dass es von den Veröffentlichungen weggelassen wurde. Ohne dies oder etwas Ähnliches ist Teleport für die Bereitstellung in Kubernetes-Clustern mit einer CI/Automatisierung unbrauchbar.