Kubernetes: 대시보드 https 무단

같은 문제가 있습니다. 그리고 작가가 아직 고려하지 않았을 수도 있다고 생각합니다.
https://github.com/kubernetes/dashboard/issues/1116

클러스터가 HTTPS를 통한 보안 통신을 위해 인증서를 사용하고 있는 것 같습니다. 여기에 2가지 문제가 있습니다.

1. 브라우저는 루트 CA를 인식하지 못하므로 연결이 안전한지 신뢰할 수 없습니다. 우리는 그것을 우회하고 계속 사용할 수 있습니다. 이 부분은 차단기가 아닙니다. :)
   
2. API 서버는 클라이언트 인증을 위해 클라이언트 인증서/토큰/사용자 및 전달(구성에 따라 다름)이 필요합니다. 그렇지 않으면 Unauthorized 를 반환합니다.

필요한 데이터를 쉽게 제공할 수 있기 때문에 curl로 쉽게 권한을 부여할 수 있습니다.
curl https://<MASTER_IP>/version --cacert ca.crt --cert admin.crt --key admin.key
curl https://<MASTER_IP>/version --header "Authorization: Bearer $TOKEN"`

브라우저를 사용하면 그보다 더 복잡합니다. 대시보드에 액세스하는 방법에는 여러 가지가 있습니다.

1. NodePort를 사용하여 서비스를 통해 노출하고 <MASTER_IP>:<NODE_PORT> 로 액세스할 수 있습니다. (안전하지 않음)
2. 인증서를 브라우저로 가져옵니다.
3. kubectl proxy 를 사용하고 http://127.0.0.1:8001/ 로 이동합니다(바인드 주소는 변경 가능). kubeconfig 파일이 보안 연결을 사용하도록 구성된 경우 SSL 터널링을 처리합니다.

두 번째 옵션에 대해. 파이어폭스를 사용하여 이를 수행하는 방법에 대한 정보를 제공할 수 있습니다.

1. 생성된 CA 인증서를 브라우저로 가져옵니다.
   
2. 사용자 인증서를 Your Certificates 로 가져옵니다. crt 및 key 2개의 별도 인증서가 있는 경우 브라우저 인증서 저장소로 직접 가져오기 쉽기 때문에 PFX/PKCS#12 인증서로 병합하는 것이 가장 좋습니다. 이 페이지 를 사용하거나 openssl 를 사용하여 수동으로 수행할 수 있습니다.
   

인증서가 올바르게 생성되면 다음에 HTTPS를 통해 API 서버에 액세스하려고 할 때 팝업이 표시됩니다. 브라우저 캐시를 지워야 할 수도 있습니다.

이제 대시보드가 ​​표시되어야 합니다. :)

브라우저에서 무기명 토큰을 사용하는 방법을 모르겠습니다. API 서버에 요청을 보내기 전에 HTTP 헤더에 데이터를 추가하려면 약간의 수동 작업이 필요할 수 있습니다.

물론 사용자에게 권한을 부여하는 다른 옵션이 있습니다. Kubernetes는 ABAC, RBAC 등을 지원합니다.

브라우저는 보안 API 서버 포트에 접근할 때 인증이 필요합니다. https://github.com/kubernetes/kubernetes/issues/31665#issuecomment -247342834에서 알 수 있듯이 인증서 기반 인증으로 수행할 수 있습니다.

토큰 기반 인증의 경우 브라우저는 요청과 함께 전달자 토큰을 자동으로 보내는 방법을 제공하지 않습니다.

대시보드는 인증 자격 증명을 추가하고 프록시를 통해 로컬로 대시보드에 액세스할 수 있는 kubectl proxy 를 사용하는 방법을 설명합니다( https://github.com/kubernetes/dashboard#usage ).