kubernetes集群配置serviceaccount
Kubernetes API的其它服务。Service Account它并非给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。nginx
Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种:
Opaque(default): 任意字符串
kubernetes.io/service-account-token: 做用于ServiceAccount
kubernetes.io/dockercfg: 做用于Docker registry,用户下载docker镜像认证使用。git
本文将介绍在kubernetes集群中配置serviceaccount和secret,能够让kubernetes使用私有仓库,并支持nginx basic认证。因为咱们采用的是rpm包方式安装的kubernetes集群,默认没有ca.crt、kubecfg.crt kubecfg.key 、server.cert 、server.key这些文件,须要下载源码生成。github
1、使用工具生成key文件docker
# mkdir git # cd git/ # git clone https://github.com/kubernetes/kubernetes
下载easy-rsa.tar.gz,下载地址在make-ca-cert.sh脚本中能够找到,将文件放到~/kube目录下json
# ls ~/kube easy-rsa.tar.gz # cd /root/git/kubernetes/ # sh cluster/centos/make-ca-cert.sh 192.168.115.5 # ls /srv/kubernetes/ ca.crt kubecfg.crt kubecfg.key server.cert server.key # chown -R kube:kube /srv/kubernetes/*
将这些文件发送到vm2主机的相同目录centos
# chown -R kube:kube /srv/kubernetes/* # scp -rp /srv/ root@vm2:/
2、修改配置文件api
# grep -v '^#' /etc/kubernetes/apiserver |grep -v '^$' KUBE_API_ADDRESS="--insecure-bind-address=192.168.115.5" KUBE_ETCD_SERVERS="--etcd-servers=http://192.168.115.5:2379" KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16" KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota" KUBE_API_ARGS="--storage-backend=etcd2 --secure-port=6443 --client-ca-file=/srv/kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls-private-key-file=/srv/kubernetes/server.key"
# grep -v '^#' /etc/kubernetes/controller-manager |grep -v '^$' KUBE_CONTROLLER_MANAGER_ARGS="--root-ca-file=/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes/server.key"
3、重启相关服务frontend
Master: # systemctl restart kube-apiserver # systemctl restart kube-controller-manager # systemctl restart kube-scheduler Slave: # systemctl restart kubelet # systemctl restart kube-proxy # kubectl get secret # kubectl describe secret default-token-6pddn
4、经过配置secret,让kubernetes能够从私有仓库中拉取镜像ide
# kubectl create secret docker-registry regsecret \ --docker-server=registry.fjhb.cn \ --docker-username=ylw \ --docker-password=123 \ --docker-email=ylw@fjhb.cn
在yaml文件sepc节加入imagePullSecrets,指定使用建立好的secret工具
# kubectl create -f frontend-controller.yaml
经过参考kubernetes的官方文档,并不能解决实际问题
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
nginx日志依然报401认证错误
咱们知道使用docker pull去私有仓库拉取镜像,须要先使用docker login登录一下私有仓库,而login执行的操做,实际上就是在用户的家目录写入了.docker/config.json文件。将此文件作一个软连接到 /var/lib/kubelet/.docker/就能够解决此问题了。当配置了软链接后就不须要在yaml文件中引用前面的建立的secret了。
# cat /root/.docker/config.json # ln -s /root/.docker/ /var/lib/kubelet/.docker/
# kubectl create -f frontend-controller.yaml
- 1. Kubernetes集群配置
- 2. Kubernetes Harbor等资源--secret和ServiceAccount配置
- 3. Kubernetes集群安全配置
- 4. Kubernetes最小集群配置
- 5. kubernetes集群配置实现NFS存储
- 6. Kubernetes: 集群网络配置 - flannel
- 7. Kubernetes 配置 coredns 做为集群内dns
- 8. kubernetes rabbitmq 集群安装配置
- 9. 15.kubernetes认证及serviceaccount
- 10. Kubernetes集群搭建之Etcd集群配置篇
- 更多相关文章...
- • Swarm 集群管理 - Docker教程
- • Eclipse Debug 配置 - Eclipse 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。