主页 / server / 问题 / 1011402
Accepted
James Arems
Asked: 2020-04-09 00:20:04 +0800 CST

如何编辑 OIDC 的 Kubernetes 集群值?

  • 772

我们计划对 Kubernetes 实施 OpenID 身份验证,我正在寻找一种方法将 oidc-issue-url 添加到 Kubernetes 集群,如Kubernetes OpenID中的描述

但我找不到集群配置。如何使用 kubectl 向 Kubernetes 集群 API 服务器添加或编辑值?

openid kubernetes

2 个回答

  1. Best Answer

    您应该使用kube-apiserver

    Kubernetes API 服务器验证和配置 api 对象的数据,包括 pod、服务、replicationcontroller 等。API Server 为 REST 操作提供服务,并为集群的共享状态提供前端,所有其他组件通过该前端进行交互。

    kube-apiserver [flags]

    如果使用 kops,运行 kops edit cluster 并添加:

    spec:
  kubeAPIServer:
    oidcIssuerURL: ISSUER_URL
    oidcClientID: YOUR_CLIENT_ID

    如果您使用 的是kube-aws,请将以下内容添加到 cluster.yaml

           oidc:
         enabled: true
         issuerUrl: ISSUER_URL
         clientId: YOUR_CLIENT_ID

    你可以在这里阅读更多关于设置的信息,你也可以考虑使用 Kubelogin

    编辑:

    kube-apiserver在您的主节点上作为 Docker 容器运行。因此,二进制文件在容器内,而不是在您的主机系统上。它由主人kubelet从位于 的文件中启动/etc/kubernetes/manifestskubelet正在监视此目录,并将启动此处定义为“静态 pod”的任何 Pod。

    要配置kube-apiserver命令行参数,您需要/etc/kubernetes/manifests/kube-apiserver.yaml在 master 上进行修改。

    • 1

  2. 接受的答案是正确的,修改清单文件/etc/kubernetes/manifests/kube-apiserver.yaml并添加在https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/中找到的 oidc 标志将为您的 apiserver 配置 oidc。

    当我在研究配置 oidc 时遇到的问题时遇到此线程时,我想添加两个对我有帮助的附加项目:

    1. 如果你想用冒号配置组或用户前缀,语法需要看起来像这样,以避免在解析清单时出现语法错误
        - "--oidc-groups-prefix=oidc:"
    - "--oidc-username-prefix=oidc:"
    1. 当您设置 --oidc-ca-file 时,请确保您指向的 ca 文件首先存在。如果它不存在,则 apiserver 将不会启动并且日志不是很有帮助
    • 0

相关问题