Hello, After a new deployment, I downloaded the kubeconfig and upon trying to approve a Certificate Signing Request (CSR), the csr just sits in an approved state, but never becomes Issued. Is there a restriction or something on the default-kubernetes- user that I might not be familiar with? That or maybe my process is wrong, its odd that it just sits in an Approved state. Any help is appreciated!

Karbon Clusters (currently, working on it, depends on other parts of the platform too) doesn’t support certificate based authentication. We do support user-based token authentication as explained above (even with directory users, thanks to our integrated auth in Prism Central).We also support ServiceAccounts if you need longer/persistant token over 24h (for example to integrate with your CI/CD pipeline). In fact we haven’t changed anything related to token based authentication, we just added a “hook” to also enable us to auth users via Prism Central. That way, the “browsing account” credentials (the account used to check on the Directory if the credentials supplied by the userare correct) aren’t anywhere on the Kubernetes clusters, and are instead centrally managed inside Prism Central.We simply have not enabled Certificate Based authentication (or any kind of certificate issuance) in the Kubernetes clusters, until the platform is able to provide us with a secure source of certificates (as I said, working on it).

Hey@Keith33,Your username is actually encoded in your token, so don’t worry about that part, Karbon/PC will take care of that in the background for you.As long as you are logged into PC with your AD user, the Kubeconfig you download from there is indeed “your own” and represent your own user. You can check that using (for example) the “whoami” plugin from Krew√ [shuguet @ mac:~] % ssh pcvm karbonctl cluster kubeconfig --cluster-name shu-prod-calico > ~/.kube/config√ [shuguet @ mac:~] % kubectl get nodesNAME STATUS ROLES AGE VERSIONkarbon-shu-prod-calico-a35db6-k8s-master-0 Ready master 35d v1.16.13karbon-shu-prod-calico-a35db6-k8s-master-1 Ready master 35d v1.16.13karbon-shu-prod-calico-a35db6-k8s-worker-0 Ready node 35d v1.16.13karbon-shu-prod-calico-a35db6-k8s-worker-1 Ready node 35d v1.16.13karbon-shu-prod-calico-a35db6-k8s-worker-2 Ready node 35d v1.16.13√ [shuguet @ mac:~] % kubectl whoami shu@karbondemo.local

KarbonCSR请求 stuck - 伟德1964手机,伟德国际19

社区

Nutanix云基础设施

努坦尼斯库贝内特斯引擎

KarbonCSR请求批量

解决
KarbonCSR请求批量

三年前
2020年10月8日

9次回复

815视图

K级

基思33

冒险者

4项回复

新建部署后,我下载tubeconfig并批准证书签名请求时,csr只是按核准状态静坐,但从不发布默认库贝内特斯有约束或东西用户我可能不熟悉或可能我进程错误奇特它只是坐状态批准请求帮助

图标
最佳回答shuguet语言2020年10月12日14:25

视图原创

AHV

新建部署后,我下载tubeconfig并批准证书签名请求时,csr只是按核准状态静坐,但从不发布默认库贝内特斯有约束或东西用户我可能不熟悉或可能我进程错误奇特它只是坐状态批准Any help is appreciated!<\/p>","quoteUsername":"Keith33","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}">

仿佛

引文

共享

专题结束备注

9次回复

最老先

最新优先最佳投票

用户四级

+3

密克西

外乘者

68回复

三年前
2020年10月8日

计划使用证书认证法时面对同样的问题,但没有拆分证书

和k8sRBAC验证这对于我最易灵活

计划使用证书认证方法时面临相同的问题,但djd\u2019t
I\u2019m使用Prism中心用户验证,k8sRBACThis\u00a0is the most easy and flexible way for me.\u00a0<\/p>","quoteUsername":"mikkisse","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}">

仿佛

引文

K级

基思33

写者

冒险者

4项回复

三年前
2020年10月8日

感谢快速回复 mikkisse网站

个人计算机用户和k8sRBAC集成上头我看到博客或文章,最好能理解为什么我们都遇到相同问题诚然,我不是证书专家所以我不知道问题在哪里

感谢快速回复 @mikkisse<\/user-mention>\u00a0<\/p>
I don\u2019t信我熟悉PC用户和k8RBAC集成上头我看到博客或文章,最好能理解为什么我们都遇到相同问题诚然,我不是证书专家,所以我知道问题出在哪里.\una0Q/p>'squoteUsername'

仿佛

引文

用户四级

+3

密克西

外乘者

68回复

三年前
2020年10月8日

博客上写 t俄国文版,但你可以翻译连接库贝涅斯集群自动化tubeconfig文件请求过程.

博客上写 tu2019s俄文版,但你可以翻译连接库贝涅斯集群Automating the kubeconfig file request process<\/a>.<\/p>","quoteUsername":"mikkisse","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}">

仿佛

引文

K级

基思33

写者

冒险者

4项回复

三年前
2020年10月8日

谢谢

刚经过kubecongig文件为集群下载时仍表示默认用户- 取用用户名网络上发现个人问题与证书问题相同,

问题相似时用下命令检查 :

kubectl获取svc

状态csr核准,但没有发布知道怎么修复它吗

[更新]我发现问题是因为tube控制器管理者忽略了这些选项

--cluster-signing-cert-file and --cluster-signing-key-file

iaml主节点上似乎有控件配置然而,我不知道用什么指向测试因为在这一点上我脑海加证书用户名为何不显示于下载库贝config文件用户名我用PC映射匹配我在K8S创建的集群绑定它们是AD用户,但域名从用户名中留置到每个配置中,以便匹配

谢谢简洁写博客

Thanks,\u00a0<\/p>
刚经过kubecongig文件为集群下载时仍表示默认用户- 取用用户名在线上我发现一篇文章, 个人问题和我们环切证书问题相同,

问题相似取下命令时:++/em++/p

kubectl获取svc

状态csr核准,但没有发布/em+/p

[更新]我发现问题是因为tube控制器管理器忽略了这些选项:++++++++/p++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

--cluster-signing-cert-file and --cluster-signing-key-file<\/em><\/p>

server.yaml主节点中似乎有控制器配置自I\u2019m测试后,用户名为何不显示于下载库贝config文件用户名我用PC映射匹配我在K8S创建的集群绑定i/p>

谢谢Nicely written blog by the way!<\/p>","quoteUsername":"Keith33","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}">

仿佛

引文

用户级1

+4

shuguet语言

努坦尼斯雇员

19次回复

三年前
2020年10月9日

顿 Keith33 ,

用户名实际编码您的令牌, 所以不用担心那部分, Karbon/PC会处理后台为您处理

自定义自定义自定义自定义自定义自定义自定义自定义自定义自定义自定义自定义自定义自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自算可检查使用(例如)Whoami插件发自克鲁特

sshpvmkarbonctl集群kubeconfig-shu-prod-calico ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 名称状态变换 karbon-shu-prod-calicoa35db6k8s-0 karbon-shu-prod-calicoa35db6k8s- kbon-shu-calicoa35db6k8s-worker0 karbon-shu-calicoa35db6k8s-worker kbon-shu-calicoa35db6k8s-worker2 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ shu@karbondemo.local

产品管理员-Karbon集群和Kubernetes@Nutanix

湖0 @Keith33<\/user-mention>\u00a0,<\/p>
用户名实际编码为令牌,don\u2019t为这部分操心,Karbon\/PC会处理后台问题

自定义自定义二维集成并代表自定义用户的kubeconfig自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自编自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自译自算可检查使用(例如)u201chomi\u201d插件QQ/a krew/a/p

u221assshpmkarbonctl集群 \u221a[shuget@mac:~]%kubectl获取节点名称状态变换 karbon-shu-prod-calicoa35db6k8s-0 karbon-shu-prod-calicoa35db6k8s- kbon-shu-calicoa35db6k8s-worker0 karbon-shu-calicoa35db6k8s-worker kbon-shu-calicoa35db6k8s-worker2 u221a%kubectlwho shu@karbondemo.local<\/code><\/pre>\u00a0<\/p>","quoteUsername":"vshuguet","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}">仿佛引文

用户四级 +3 密克西外乘者 68回复三年前 2020年10月9日顿苏盖特证书经批从不发布状态顿 @vshuguet<\/user-mention>\u00a0so certificates in approved and never issued state it\u2019s ok in Karbon deployments?\u00a0<\/p>","quoteUsername":"mikkisse","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}"> 仿佛引文 K级基思33 写者冒险者 4项回复三年前 2020年10月9日谢谢苏盖特 .工作原理我初始需求是想方设法获得CSR批准-Karbon这样做吗? 我想做的是设置基于证书用户访问像这样:Kubernetes提示:以客户端证书向集群存取无法通过CSR部分,因为它从不发布,因此从不见客户证书我在这里的最终目标(我可能只是不够用证书认证)是通过证书远程认证卡尔本集群 Thanks\u00a0 @vshuguet<\/user-mention>.works.\u00a0/p 我初始需求是想方设法通过CSR\u2019s-Karbon这样做吗? 我想做的是设置基于证书用户访问像这样:Kubernetes提示:用客户端证书提供集群访问无法通过CSR部分,因为它从不发布,因此从不见客户证书容我通过证书远程认证卡尔本集群.#/p>,quoteUsername 仿佛引文用户级1 +4 shuguet语言努坦尼斯雇员 19次回复三年前 2020年10月12日回答问题 Karbon集群(当前在它上工作,也依赖平台的其他部分)不支持证书认证支持用户代号验证,如上所解释(即使是目录用户,多亏我们在Prism中心综合认证)。 ServiceAccounts 24h以上需要长/远令牌时支持ServiceAccounts事实上,我们没有改变与符号验证有关的任何内容, 我们刚添加了“hook”, 并使我们能够通过Prism中心向用户提供auth使用程序库伯内特斯集群中无处可见的浏览账号证书(账号用于查看目录中用户所提供证书正确性),代之以集中管理Prism中心平台无法提供安全证书源码前(如我所说,正在研究证书库贝内特斯集群中), 我们根本无法启动证书认证(或任何形式的证书发布) 产品管理员-Karbon集群和Kubernetes@Nutanix karbon集群(当前工作平台其他部分也依赖平台) does\u2019t支持证书认证支持用户标识认证如上解释(即使是目录用户,多亏我们在Prism中心集成a serviceActhave\u2019t更改代号验证相关内容,我们刚加进u201chook\u201d库贝涅斯集群中任何地方都算得上++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 库贝涅斯集群中未启动证书认证程序(或证书发布程序),直到平台能提供安全证书源码(如我所言 ) quoteUsername 仿佛引文 K级基思33 写者冒险者 4项回复三年前 2020年10月13日谢谢苏盖特信息我正想确认服务账号和无记名令牌工作基于证书认证我正想测试, 但由于它不支持, 说明我为什么能批准请求但没有看到发布感谢两位所有回复理解PC钩子在这里非常有价值谢谢谢谢 @vshuguet<\/user-mention>\u00a0<\/p> 信息我正想确认服务账号和无记名令牌工作基于证书认证我正想测试,但既然它支持\u2019t,说明我为什么能批准请求但没有看到发布的东西.\u00a0Q/p 感谢两位所有回复理解PC钩子在这里非常值钱. Thanks!<\/p>","quoteUsername":"Keith33","translations":{"Common":{"like":"Like","unlike":"Unlike"},"Forum":{"Quote":"Quote","Share":"Share"}}}"> 仿佛引文

受Gainsight驱动条件和条件签名已经开户登录登录您的账号登录社区登录您的账号输入用户名或电子邮件地址发邮件指令重置密码用户名或电子邮件回概述扫描文件病毒抱歉,我们仍在检查文件内容以确保安全下载几分钟后再试好无法下载此文件抱歉,病毒扫描仪检测到此文件下载不安全好 Learn more about our cookies.<\/a>","cookiepolicy.button":"Accept cookies","cookiepolicy.button.deny":"Deny all","cookiepolicy.link":"Cookie settings","cookiepolicy.modal.title":"Cookie settings","cookiepolicy.modal.content":"We use 3 different kinds of cookies.可选择要接受的cookie我们需要基本cookie使网站工作, 因此这是最小选择更多了解cookie.Q/a> Functional","cookiepolicy.modal.level2":"Normal Functional + analytics","cookiepolicy.modal.level3":"Complete 函数+分析+社交媒体+嵌入视频