2. 程式人生 > >kubernetes中kubeconfig的用法

kubernetes中kubeconfig的用法

阿新 發佈:2018-03-01
com -h use 編寫 文件描述 sys 文件組 clust ole

在開啟了 TLS 的集群中,每當與集群交互的時候少不了的是身份認證,使用 kubeconfig(即證書) 和 token 兩種認證方式是最簡單也最通用的認證方式。

以kubectl為例介紹kubeconfig的配置。kubectl只是個go編寫的可執行程序,只要為kubectl配置合適的kubeconfig,就可以在集群中的任意節點使用。kubectl默認會從$HOME/.kube目錄下查找文件名為 config 的文件,也可以通過設置環境變量 KUBECONFIG 或者通過設置 --kubeconfig 去指定其它 kubeconfig 文件。

總之kubeconfig就是為訪問集群所作的配置。

export KUBE_APISERVER="https://172.20.0.113:6443"
# 設置集群參數
kubectl config set-cluster kubernetes   --certificate-authority=/etc/kubernetes/ssl/ca.pem   --embed-certs=true   --server=${KUBE_APISERVER}
# 設置客戶端認證參數
kubectl config set-credentials admin   --client-certificate=/etc/kubernetes/ssl/admin.pem   --embed-certs=true
 
   --client-key=/etc/kubernetes/ssl/admin-key.pem
# 設置上下文參數
kubectl config set-context kubernetes   --cluster=kubernetes   --user=admin
# 設置默認上下文
kubectl config use-context kubernetes

生成的 kubeconfig 被保存到 ~/.kube/config 文件;配置文件描述了集群、用戶和上下文

集群參數

本段設置了所需要訪問的集群的信息。使用set-cluster設置了需要訪問的集群,如上為kubernetes;--certificate-authority設置了該集群的公鑰;--embed-certs為true表示將--certificate-authority證書寫入到kubeconfig中;--server則表示該集群的kube-apiserver地址

生成的kubeconfig 被保存到 ~/.kube/config 文件

用戶參數

本段主要設置用戶的相關信息,主要是用戶證書。如上的用戶名為admin,證書為:/etc/kubernetes/ssl/admin.pem,私鑰為:/etc/kubernetes/ssl/admin-key.pem。註意客戶端的證書首先要經過集群CA的簽署,否則不會被集群認可。此處使用的是ca認證方式,也可以使用token認證,如kubelet的 TLS Boostrap機制下的bootstrapping使用的就是token認證方式。

上下文參數

集群參數用戶參數可以同時設置多對,在上下文參數中將集群參數用戶參數關聯起來。上面的上下文名稱為kubenetes,集群為kubenetes,用戶為admin,表示使用admin的用戶憑證來訪問kubenetes集群的default命名空間,也可以增加--namspace來指定訪問的命名空間。

最後使用kubectl config use-context kubernetes來使用名為kubenetes的環境項來作為配置。如果配置了多個環境項,可以通過切換不同的環境項名字來訪問到不同的集群環境。

備註

使用kubeconfig還需要註意用戶已經經過授權(如RBAC授權),上述例子中用戶的證書中OU字段為system:masterskube-apiserver 預定義的 RoleBinding cluster-admin 將 Group system:masters 與 Role cluster-admin 綁定,該 Role 授予了調用kube-apiserver 相關 API 的權限。

參考:

  • https://k8smeetup.github.io/docs/concepts/configuration/organize-cluster-access-kubeconfig/
  • https://k8smeetup.github.io/docs/tasks/access-application-cluster/configure-access-multiple-clusters/
  • https://jimmysong.io/kubernetes-handbook/guide/kubectl-user-authentication-authorization.html
  • http://kubernetes.kansea.com/docs/user-guide/kubectl

kubernetes中kubeconfig的用法

相關推薦

kuberneteskubeconfig用法

com -h use 編寫 文件描述 sys 文件組 clust ole 在開啟了 TLS 的集群中,每當與集群交互的時候少不了的是身份認證,使用 kubeconfig(即證書) 和 token 兩種認證方式是最簡單也最通用的認證方式。 以kubectl為例介紹kubeco

KubernetesLabel的多維度用法

概述 kubernetes中有個Label的概念,是用來給叢集中的物件打標籤的,比如Node, Pod, Service, ReplicationController, ReplicaSet。它採用key=value的形式,在實際運用中這一功能是很有用處的,下面我會著重從給Node打標籤

Linuxwget用法

wordpress 用戶名 targe 是否 之前 get robot c斷點續傳 常用語法 Wget簡介:Linux系統中wget是一個下載文件的工具,它用在命令行下。對於Linux用戶是必不可少的工具,我們經常要下載一些軟件或從遠程服務器恢復備份到本地服務器。wget支

Unity3dSendMessage 用法

req unity3 move 忽略 function java ear option 自動 Message相關有3條指令:SendMessage ("函數名",參數,SendMessageOptions) //GameObject自身的ScriptBroadc

kubernetesport、target port、node port的對比分析,以及kube-proxy代理

ans toc contain exp red lec adb service 接口 轉:http://blog.csdn.net/xinghun_4/article/details/50492041 容器網絡實例 服務中的3個端口設置 這幾個port的概念很容易混淆,比

關於expdp query用法小結

oracle query expdp 今天看到群裏有人問到關於在使用expdp導出數據中使用query參數報錯的解決方法,自己也出於好奇心瞎折騰了一把,現記錄如下 1.第一次嘗試的時候[[email protected]/* */ ~]$ expdp scott/scott t

canvas 在視頻用法

rec meta maximum tex scale clear ini splay port <!doctype html> <html> <head> <meta charset="UTF-8"> <

Python isinstance()用法 判斷對象的類型

pytho () type logs pan code ret instance col isinstance(p_object, class_or_type_or_tuple):判斷對象的類型 a=123 ret=isinstance(a,int) print(ret)

Django @login_required用法簡介

template 需求 csr view mail fun sig 如果 csrf 我們在網站開發過程中,經常會遇到這樣的需求: 用戶登陸系統才可以訪問某些頁面 如果用戶沒有登陸而直接訪問就會跳轉到登陸界面,而不能訪問其他頁面。 用戶在跳轉的登陸界面中完成登陸後,

c/c++const用法總結

沒有 pan 分配 值類型 變量初始化 _id 多少 部分 參數 1、修飾常量時:   const int temp1; //temp1為常量,不可變   int const temp2; //temp2為常量,不可變 2、修飾指針時:   主要看const在*的前後,

JavaIterator用法整理

mil rem println 對象 獲得 返回 new ext 插入 叠代器(Iterator)   叠代器是一種設計模式,它是一個對象,它可以遍歷並選擇序列中的對象,而開發人員不需要了解該序列的底層結構。叠代器通常被稱為“輕量級”對象,因為創建它的代價小。   Java

Javavector用法整理

遍歷 檢索 集合 ash ets toa java code lan ArrayList會比Vector快,他是非同步的,如果設計涉及到多線程,還是用Vector比較好一些 import java.util.*; /** * 演示Vector的使用。包括Vector的創

scanf()函數*的用法

c*在scanf函數中提供完全不同的服務,當把它放在%和說明符字母之間時,它使函數跳過相應的輸入項目。實例程序:/*scanf()函數中*的用法:如果程序要讀取一個文件中某個特定的列(該文件中的數據以統一的列排列時,那麽該功能將非常有用)*/ #include <stdio.h> int mai

C#Split用法~字符串分隔

rec get 字符 說明 logs sep bbs options tle 1、用字符串分隔: using System.Text.RegularExpressions;string str="aaajsbbbjsccc";string[] sArray=

【Java學習筆記之二十二】解析接口在Java繼承用法及實例分析

ani 復制代碼 ads compute 現在 target body 常量 實現接口 一、定義 Java接口(Interface),是一系列方法的聲明,是一些方法特征的集合,一個接口只有方法的特征沒有方法的實現,因此這些方法可以在不同的地方被不同的類實現,而這些實現可以具

ios pickerView用法之國旗選擇

spa copy interface option sin source 出現 color import QRViewController控制器 // // QRViewController.m // #import "QRViewController.h" #imp

linuxsed用法

命令一、sed命令介紹:1、含義:Stream Editor文本流編輯,sed是一個“非交互式的”面向字符流的編輯器。能同時處理多個文件多行的內容,可以不對原文件改動,把整個文件輸入到屏幕,可以把只匹配到模式的內容輸入到屏幕上。還可以對原文件改動,但是不會再屏幕上返回結果。2、功能:主要用來自動編輯一個或多個

Pythonenumerate用法詳解

num readline 文件的 簡單 += () 用法 字符 計數 enumerate()是python的內置函數、適用於python2.x和python3.xenumerate在字典上是枚舉、列舉的意思enumerate參數為可遍歷/可叠代的對象(如列表、字符串)enu

C#const用法詳解

htm 鏈接 服務器 span img body 用法詳解 -s 設計 本文實例講述了C#中const用法。分享給大家供大家參考。具體用法分析如下: const是一個c語言的關鍵字,它限定一個變量不允許被改變。使用const在一定程度上可以提高程序的安全性和可靠性,另外,

C#FormsAuthentication用法實例

clear tick brush esp void 轉載 地址 功能 def using System; using System.Web; using System.Web.Security; namespace AuthTest { public class Aut