kubernetes中kubeconfig的用法

时间 2020-07-17

标签 kubernetes kubeconfig 用法繁體版

原文原文链接

在开启了 TLS 的集群中，每当与集群交互的时候少不了的是身份认证，使用 kubeconfig（即证书）和 token 两种认证方式是最简单也最通用的认证方式。html

以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序，只要为kubectl配置合适的kubeconfig，就能够在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为 config 的文件，也能够经过设置环境变量 KUBECONFIG 或者经过设置 --kubeconfig 去指定其它 kubeconfig 文件。git

总之kubeconfig就是为访问集群所做的配置。github

export KUBE_APISERVER="https://172.20.0.113:6443" # 设置集群参数 kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=${KUBE_APISERVER} # 设置客户端认证参数 kubectl config set-credentials admin \ --client-certificate=/etc/kubernetes/ssl/admin.pem \ --embed-certs=true \ --client-key=/etc/kubernetes/ssl/admin-key.pem # 设置上下文参数 kubectl config set-context kubernetes \ --cluster=kubernetes \ --user=admin # 设置默认上下文 kubectl config use-context kubernetes

生成的 kubeconfig 被保存到 ~/.kube/config 文件；配置文件描述了集群、用户和上下文bootstrap

集群参数

本段设置了所须要访问的集群的信息。使用set-cluster设置了须要访问的集群，如上为kubernetes，这只是个名称，实际为--server指向的apiserver；--certificate-authority设置了该集群的公钥；--embed-certs为true表示将--certificate-authority证书写入到kubeconfig中；--server则表示该集群的kube-apiserver地址api

生成的kubeconfig 被保存到 ~/.kube/config 文件app

用户参数

本段主要设置用户的相关信息，主要是用户证书。如上的用户名为admin，证书为：/etc/kubernetes/ssl/admin.pem，私钥为：/etc/kubernetes/ssl/admin-key.pem。注意客户端的证书首先要通过集群CA的签署，不然不会被集群承认。此处使用的是ca认证方式，也能够使用token认证，如kubelet的 TLS Boostrap机制下的bootstrapping使用的就是token认证方式。上述kubectl使用的是ca认证，不须要token字段ide

上下文参数

集群参数和用户参数能够同时设置多对，在上下文参数中将集群参数和用户参数关联起来。上面的上下文名称为kubenetes，集群为kubenetes，用户为admin，表示使用admin的用户凭证来访问kubenetes集群的default命名空间，也能够增长--namspace来指定访问的命名空间。ui

最后使用kubectl config use-context kubernetes来使用名为kubenetes的环境项来做为配置。若是配置了多个环境项，能够经过切换不一样的环境项名字来访问到不一样的集群环境。spa

备注

使用kubeconfig还须要注意用户已经通过受权（如RBAC受权），上述例子中用户的证书中OU字段为system:masters，kube-apiserver 预约义的 RoleBinding cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定，该 Role 授予了调用kube-apiserver 相关 API 的权限。code

kubernetes中kubeconfig的用法

集群参数

用户参数

上下文参数

备注

参考：