04-建立kubeconfig认证文件
本文档记录本身的学习历程!
建立 kubeconfig 文件
kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通讯时须要认证和受权;node
kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不须要为每一个客户端生成证书了;该功能当前仅支持为 kubelet 生成证书;bootstrap
建立 TLS Bootstrapping Token
Token auth fileapi
Token能够是任意的包涵128 bit的字符串,能够使用安全的随机数发生器生成安全
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF
后三行是一句,直接复制上面的脚本运行便可。bash
将token.csv发到全部机器(Master 和 Node)的 /etc/kubernetes/ 目录。app
# cp token.csv /etc/kubernetes/ # scp token.csv xxxx:/etc/kubernetes/
建立 kubelet bootstrapping kubeconfig 文件
# cd /etc/kubernetes
# export KUBE_APISERVER="https://192.168.1.121:6443"
# # 设置集群参数
# kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
# # 设置客户端认证参数
# kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig
# # 设置上下文参数
# kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig
# # 设置默认上下文
# kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
--embed-certs为true时表示将certificate-authority证书写入到生成的bootstrap.kubeconfig文件中;- 设置客户端认证参数时没有指定秘钥和证书,后续由
kube-apiserver自动生成;
建立 kube-proxy kubeconfig 文件
# export KUBE_APISERVER="https://192.168.1.121:6443"
# # 设置集群参数
# kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
# # 设置客户端认证参数
# kubectl config set-credentials kube-proxy \
--client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
--client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig
# # 设置上下文参数
# kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig
3 # 设置默认上下文
# kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
- 设置集群参数和客户端认证参数时
--embed-certs都为true,这会将certificate-authority、client-certificate和client-key指向的证书文件内容写入到生成的kube-proxy.kubeconfig文件中; kube-proxy.pem证书中 CN 为system:kube-proxy,kube-apiserver预约义的 RoleBindingcluster-admin将Usersystem:kube-proxy与 Rolesystem:node-proxier绑定,该 Role 授予了调用kube-apiserverProxy 相关 API 的权限;
分发 kubeconfig 文件
将两个 kubeconfig 文件分发到全部 Node 机器的 /etc/kubernetes/ 目录dom
# cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/ # scp bootstrap.kubeconfig kube-proxy.kubeconfig xxxx:/etc/kubernetes/
相关文章
- 1. ubuntu16 kubernetes1.6安装(2、建立kubeconfig文件)
- 2. 手动建立 k8s kubeconfig 文件以实现多环境切换
- 3. k8s集群部署五(建立Node节点kubeconfig文件)
- 4. kubernetes搭建 4、kubeconfig
- 5. 04.RxSwift Observable建立
- 6. K8S 集群中的认证、受权与kubeconfig
- 7. 04.建立型————建立者模式
- 8. TOMCAT建立SSL连接单向认证
- 9. MongoDB副本集建立与认证(六)
- 10. 建立文件
- 更多相关文章...
- • Maven 构建配置文件 - Maven教程
- • Eclipse 创建 XML 文件 - Eclipse 教程
- • Docker容器实战(七) - 容器眼光下的文件系统
- • SpringBoot中properties文件不能自动提示解决方法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
