Teleport: Implementieren Sie 'tctl auth sign --type=kubernetes'

Erstellt am 3. Juli 2019  ·  4Kommentare  ·  Quelle: gravitational/teleport

Was ist passiert : Der Versuch, tsh login -i identity_file.pem --proxy teleport.example.com auszuführen, führt zu error: -i flag cannot be used here - dies bedeutet, dass ein langlebiges Zertifikat (wie diejenigen, die für die Verwendung mit der Automatisierung gemäß https://gravitational.com/teleport/ generiert wurden) docs/user-manual/#ssh-certificates-for-automation) kann sich nicht bei einem Cluster anmelden, um ~/.kube/config mit Kubernetes-Anmeldeinformationen aktualisieren zu lassen.

Was Sie erwartet haben: Eine Methode zur Authentifizierung mit dem Kubernetes-Apiserver sowie mit SSH zur Verfügung zu haben.

Die Empfehlung von @klizhentas lautet, tctl auth export --kubeconfig zu implementieren, wodurch eine kubeconfig für den angegebenen Benutzer generiert wird, die kubectl bereitgestellt und zum Ausführen von Operationen auf dem Kubernetes-Cluster verwendet werden kann.

So reproduzieren Sie es (so minimal und genau wie möglich) : tsh login -i identity_file.pem --proxy teleport.example.com

Umgebung :

  • Teleport-Version (verwenden Sie teleport version ): Teleport Enterprise v4.0.0git:v4.0.0-0-gc7f55ac3 go1.12.1
  • Tsh-Version (verwenden Sie tsh version ): Teleport v3.2.6 git:v3.2.6-0-g67b4ddfb go1.11.5
  • Betriebssystem (zB aus /etc/os-release): Fedora 29
R3 feature-request kubernetes
Quelle
picture webvictim
👍3

Hilfreichster Kommentar

Gibt es ein Update, wann dies priorisiert wird?

Mir ist aufgefallen, dass es von den Veröffentlichungen weggelassen wurde. Ohne dies oder etwas Ähnliches ist Teleport für die Bereitstellung in Kubernetes-Clustern mit einer CI/Automatisierung unbrauchbar.

picture jamesmaidment am 21. Feb. 2020
👍3

Alle 4 Kommentare

Das wäre toll!

sekka1 picture sekka1 am 3. Juli 2019

tctl auth export bereits das --type Flag. Vielleicht sollten wir --type=k8s (und auch --type=kubernetes ) hinzufügen.

Andernfalls erhalten Sie inkompatible Flags wie auth export --kubeconfig --type=host , was keinen Sinn macht

kontsevoy picture kontsevoy am 6. Juli 2019

Gibt es ein Update, wann dies priorisiert wird?

Mir ist aufgefallen, dass es von den Veröffentlichungen weggelassen wurde. Ohne dies oder etwas Ähnliches ist Teleport für die Bereitstellung in Kubernetes-Clustern mit einer CI/Automatisierung unbrauchbar.

jamesmaidment picture jamesmaidment am 21. Feb. 2020
👍3

Untersuche das.
Nur eine Korrektur zu den obigen Kommentaren: tctl auth export CA-Zertifikate und öffentliche Schlüssel aus; Ich denke, @klizhentas meinte stattdessen tctl auth sign --format=kubernetes .

awly picture awly am 21. Apr. 2020
👍1
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

nategadzhi picture nategadzhi  ·  4Kommentare
cnelson picture cnelson  ·  5Kommentare
kimlisa picture kimlisa  ·  4Kommentare
webvictim picture webvictim  ·  3Kommentare
aashley picture aashley  ·  4Kommentare