API-Schlüssel

Deprecation of v3 API tokens

Rancher v2.13 introduced a new token resource in the ext.cattle.io API group to serve as the public API for tokens, which was only accessible through kubectl.

Starting with Rancher v2.14.1:

  • Legacy v3 API tokens (tokens.management.cattle.io) are being phased out and scheduled for removal in a future release. If you currently rely on legacy tokens for automation or API access, transition to the new tokens.ext.cattle.io tokens to ensure continued compatibility.

  • The Rancher dashboard provides basic support for tokens.ext.cattle.io (create, view or list, and delete).

API-Schlüssel und Benutzerauthentifizierung

Wenn Sie auf Ihre Rancher-Cluster, Projekte oder andere Objekte mit externen Anwendungen zugreifen möchten, können Sie dies über die Rancher-API tun. Bevor Ihre Anwendung jedoch auf die API zugreifen kann, müssen Sie der Anwendung einen Schlüssel zur Authentifizierung bei Rancher bereitstellen. Sie können einen Schlüssel über die Rancher-Benutzeroberfläche erhalten.

Ein API-Schlüssel ist auch erforderlich, um Rancher CLI zu verwenden.

API-Schlüssel bestehen aus vier Komponenten:

  • Endgerät: Dies ist die IP-Adresse und der Pfad, die andere Anwendungen verwenden, um Anfragen an die Rancher-API zu senden.

  • Zugriffsschlüssel: Der Benutzername des Tokens.

  • Geheimer Schlüssel: Das Passwort des Tokens. Für Anwendungen, die Sie nach zwei verschiedenen Zeichenfolgen zur API-Authentifizierung fragen, geben Sie normalerweise die beiden Schlüssel zusammen ein.

  • Bearer Token: Der Benutzername und das Passwort des Tokens, zusammengefügt. Verwenden Sie diese Zeichenfolge für Anwendungen, die Sie nach einer Authentifizierungszeichenfolge fragen.

Benutzer können sich entscheiden, Token-Hashing zu aktivieren.

Einen API-Schlüssel erstellen

  1. Wählen Sie Benutzeravatar  Account & API-Schlüssel in der oberen rechten Ecke aus.

  2. Klicken Sie auf API-Schlüssel erstellen.

  3. Optional: Geben Sie eine Beschreibung für den API-Schlüssel ein und wählen Sie einen Ablaufzeitraum oder einen Geltungsbereich aus. Wir empfehlen, ein Ablaufdatum festzulegen.

    Der API-Schlüssel ist nach Ablauf nicht mehr gültig. Kürzere Ablaufzeiten sind sicherer.

    Die Ablaufzeit ist durch v3/settings/auth-token-max-ttl-minutes begrenzt. Wenn sie die maximale TTL überschreitet, wird der API-Schlüssel mit der maximalen TTL als Ablaufzeit erstellt.

    Ein Scope beschränkt den API-Schlüssel, sodass er nur gegen die Kubernetes-API des angegebenen Clusters funktioniert. Wenn der Cluster mit einem autorisierten Cluster-Endpunkt konfiguriert ist, können Sie ein Scoped-Token direkt gegen die API des Clusters verwenden, ohne den Rancher-Server als Proxy zu nutzen. Siehe Autorisierte Cluster-Endpunkte für weitere Informationen.

  4. Klicken Sie auf Erstellen.

    Schritt Ergebnis: Ihr API-Schlüssel wurde erstellt. Ihr API Endpunkt, Zugriffsschlüssel, Geheimschlüssel und Bearer Token werden angezeigt.

    Verwenden Sie das Bearer Token, um sich mit Rancher CLI zu authentifizieren.

  5. Kopieren Sie die angezeigten Informationen an einen sicheren Ort. Diese Informationen werden nur einmal angezeigt, daher müssen Sie, wenn Sie Ihren Schlüssel verlieren, einen neuen erstellen.

Was kommt als Nächstes?

  • Geben Sie Ihre API-Schlüsselinformationen in die Anwendung ein, die Anfragen an die Rancher-API sendet.

  • Erfahren Sie mehr über die Rancher-Endpunkte und Parameter, indem Sie Im API anzeigen für ein Objekt in der Rancher-Benutzeroberfläche auswählen.

  • API-Schlüssel werden für API-Aufrufe und Rancher CLI verwendet.

API-Schlüssel löschen

Wenn Sie einen API-Schlüssel widerrufen müssen, löschen Sie ihn. Sie sollten API-Schlüssel löschen:

  • Die möglicherweise kompromittiert wurden.

  • Die sind abgelaufen.

Um einen API-Schlüssel zu löschen, wählen Sie den veralteten Schlüssel aus und klicken Sie auf Löschen.