我通过 Kops 创建了一个 Kubernetes 集群。配置和 ssh 密钥位于我无法再访问的机器中。即使我丢失了密钥,是否可以通过 kops ssh 到节点?我看到有一个命令 -
kops 得到秘密
这给了我所有的秘密。我可以使用它来获得对节点的 ssh 访问权限以及如何操作?
我看到集群状态存储在 S3 中。它是否也存储密钥?
【问题讨论】:
标签: amazon-web-services amazon-ec2 kubernetes kops
【讨论】:
就我而言,当我使用 Kops 安装集群时,我必须运行 ssh-keygen,如下所示创建 id_rsa.pub/pvt 密钥。这让我可以简单地做一个 ssh 或
ssh-keygen
kops create secret --name ${KOPS_CLUSTER_NAME} sshpublickey admin -i ~/.ssh/id_rsa.pub
然后用
创建集群kops update cluster --name ${KOPS_CLUSTER_NAME} --yes
ssh admin@ec2-13-59-4-99.us-east-2.compute.amazonaws.com
【讨论】:
您无法恢复私钥,但您应该可以按照以下步骤安装新的公钥:
kops delete secret --name <clustername> sshpublickey admin
kops create secret --name <clustername> sshpublickey admin -i ~/.ssh/newkey.pub
kops update cluster --yes to reconfigure the auto-scaling groups
kops rolling-update cluster --name <clustername> --yes to immediately roll all the machines so they have the new key (optional)
摘自本文档:
https://github.com/kubernetes/kops/blob/master/docs/security.md#ssh-access
【讨论】:
您可以使用gcr.io/google-containers/startup-script 容器运行新的守护程序集,以更新所有节点上的公钥,这将在您启动新节点时为您提供帮助,并将替换所有现有节点中的公钥。
kind: DaemonSet
apiVersion: extensions/v1beta1
metadata:
name: startup-script
labels:
app: startup-script
spec:
template:
metadata:
labels:
app: startup-script
spec:
hostPID: true
containers:
- name: startup-script
image: gcr.io/google-containers/startup-script:v1
imagePullPolicy: Always
securityContext:
privileged: true
env:
- name: STARTUP_SCRIPT
value: |
#! /bin/bash
touch /tmp/foo
#echo "MYPUBLICKEY" > /home/admin/.ssh/authorized_keys
echo done
将MYPUBLICKEY 替换为您的公钥和home 之后的用户名,这里admin 将根据您使用的操作系统被替换。这将帮助您通过 ssh 访问节点,而无需更改/替换现有节点
您还可以在执行kops edit ig nodes 的同时在ig 中添加用户数据,并添加小一行来附加您的公钥。
【讨论】: