问题标签 [charmed-kubernetes]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 如何暴露在 Kubernetes 中运行的服务
我已经安装Charmed-Kubernetes在Ubuntu上。然后是 istio及其bookinfo应用程序。
kubectl exec -it $(kubectl get pod -l app=ratings -o jsonpath='{.items[0].metadata.name}') -c ratings -- curl productpage:9080/productpage | grep -o "<title>.*</title>"
这返回,简单书店应用程序
kubectl get gateway -> bookinfo-gateway 32s
kubectl get svc istio-ingressgateway -n istio-system
显示外部 IP 地址,但当我尝试使用curl它访问时,什么也没给我。
我也尝试按照此处kubernetes-dashboard描述的方式访问,它也失败了。
基本上,我怎样才能从另一台 PC 访问这些 UI?我已经安装了MetalLB,但仍然没有运气。
参考: 没有带仪表板的端点
流量通过网络代理,会不会有问题?
我是 Kubernetes 的新手。
openstack - Juju vault 在 maas 和 charmed-kubernetes 上部署 openstack/base 时导致问题
我已经在 MaaS 上部署了 openstack/base,如此处所示。在我尝试使用 openstack-integrator 和 vault overlay 部署 charmed-kubernetes 后,我无法在 maas 节点上执行 openstackclient 命令,并且无法识别上传到仪表板的图像,这意味着无法部署 ubuntu charms。例如,当我这样做时,
openstack 目录列表
我明白了
联系https://keystone_ip:5000/v3时未能发现可用的身份版本。试图从 URL 解析版本。连接到https://keystone_ip:5000/v3/auth/tokens的 SSL 异常:HTTPSConnectionPool(host='keystone_ip', port=5000):最大重试次数超出了 url:/v3/auth/tokens(由 SSLError(SSLCertVerificationError( 1, '[SSL: CERTIFICATE_VERIFY_FAILED] 证书验证失败:无法获取本地颁发者证书 (_ssl.c:1108)')))
但是,当我 ssh 进入 keystone 容器时,有一个 keystone_juju_ca_cert.crt 有
颁发者:CN = Vault 根证书颁发机构 (charm-pki-local)
并作为
主题:CN = Vault 根证书颁发机构 (charm-pki-local)
我还尝试通过保管库应用程序中的操作重新颁发证书并刷新机密,但无济于事。
somobody 可以在这里帮助我吗?
kubernetes - 无法获取 Pod 服务帐户的 Vault 令牌
我正在 Charmed Kubernetes v1.19 上使用 Vault CSI 驱动程序,我正在尝试按照博客中的步骤从 Vault 中检索在webapp具有自己的服务帐户 () 的单独命名空间 ()中运行的 pod 的机密。webapp-sa
到目前为止,我已经能够理解,Pod 正在尝试对 Kubernetes API 进行身份验证,以便稍后它可以生成一个 Vault 令牌以从 Vault 访问机密。
在我看来,使用 Kubernetes API 进行身份验证存在一些问题。
pod 仍然停留在 Container Creating 状态并显示消息 -failed to create a service account token for requesting pod
我可以在 pod 命名空间中使用 cli 获取保管库令牌:
我也使用 API 获得了保管库令牌:
参考:https ://www.vaultproject.io/docs/auth/kubernetes
根据 Vault 文档,我使用 Token Reviewer SA 配置了 Vault,如下所示:
Vault 使用来自 Token Reviewer SA 的 JWT 进行配置,如下所示:
我已经定义了一个 Vault 角色以允许webapp-sa访问机密:
根据webapp-sa定义如下的保险库策略,允许访问机密:
Pod及其SA定义如下:
- 有没有人知道为什么 Pod 不会使用 Kubernetes API 进行身份验证?
- 我是否必须在 kube-apiserver 上启用标志才能使 Token Review API 工作?
- Charmed Kubernetes v1.19 是否默认启用?
将不胜感激任何帮助。
问候, 萨娜