問題タブ [kubernetes-security]

kops次のコマンドを使用して、AWS で kubernetes クラスターを正常にセットアップしました。

ダッシュボードにアクセスすると、トークンを入力するか、

クラスターへのアクセスを構成するために作成した kubeconfig ファイルを選択してください。

クラスターの作成時~/.kube/configに、次の形式で作成されました。

kubernetes ui を上記のファイルにポイントすると、なぜ

認証に失敗しました。もう一度やり直してください。

を使用kubectlしてkops 1.8

作成されたクライアント証明書 (のフィールドに 文字列として存在する)awsを使用してクラスターをスピンする場合、次の値があります。kopsclient-certificate-data~/.kube/config

私が間違っていない限り、 から始まるrganitazionkubernetes 1.4の値は情報として解釈されます (値に関連付けられた文字列は、いわゆるユーザーです。本質的にそのような概念を持っていないためです)OgroupCNk8s

1system:masters :グループやユーザーに関連付けられている権限を確認するにはどうすればよいkubecfgですか?

• (上記に関連): 現在使用しているすぐに使用できる認証方法は何ですか? RBAC? どうすればこれを確認できますか?

2 : my のエントリにユーザーが組み込まれて~/.kube/configいないのはなぜですか? kubecfg(むしろ、私のクラスター名を持つユーザーと、という名前の別のユーザーadminですか?)

kubectl結局のところ、コマンドを実行するときに、API 呼び出しを実行しているユーザーは?

更新: の値を台無しにしようとしましたが、client-certificate-data取得~/.kube/configしました

エラー: TLS: 秘密鍵が公開鍵と一致しません

x509これは、ベース認証を使用していることを意味すると想定しています(?)

だから私はAPI呼び出しを行っていkubecfgますか？

k8s/ kops/awsスイートを試しています。

これまでのところ、かなり順調に進んでいます ( を介してクラスターを更新する際の問題kopsを除いて)

既存のリソース/クラスターを利用して、同じクラスターにアプリの 2 つのフレーバー (つまりproductionと)をデプロイできるようにしたいと考えています。testing

k8s安全のために、これら 2 つのデプロイのリソース間の分離を可能な限り最大化したいと考えています。

間違いなく、さまざまな名前空間で行われています。

調査の結果、相互通信NetworkPolicyを防ぐためにも申請する必要があることがわかりました。namespaceただし、NetworkPolicyリソースを適用するには、サポートするネットワーク ソリューションが必要です (現在は を使用しkubenetていますが、デフォルトではを使用しkopsていません)。

解決策/プラグインは何ですか?

（少なくとも当面は）上記の分離レベルが必要です。これは、すべてのポッドNetworkPolicyに共通CIDRのものがあっても実現できると思います（可能な限り単純なネットワークソリューションが必要であることを強調するためです）それはそれを達成し、複数CIDRsなどでこれ以上派手なことはありません）。

理想的には、リソースをベースの ( ) およびベースの ( ) イングレス ルールに使用できるようにしたいのですが、それだけです (?)NetworkPolicynamespacenamespaceSelectorpodpodSelector