本文共 1141 字，大约阅读时间需要 3 分钟。

在一个启用了TLS的 Kubernetes 集群中，集群访问不可或缺的就是身份认证，而使用kubeconfig（即证书）和token两种方式是最简单也是最通用的认证方式。

kubeconfig 配置简述

以kubectl为例来讲解kubeconfig的配置。kubectl本质上是一个用Go编写的可执行程序，只要给kubectl配置了合适的kubeconfig，就可以在集群中的任意节点上使用。默认情况下，kubectl会从$HOME/.kube目录下查找文件名为config的文件，也可以通过设置环境变量KUBECONFIG或者通过命令去指定其他kubeconfig文件。

集群参数配置

通过以下命令可以设置所需访问的集群信息：

kubectl config set-cluster kubernetes \  --certificate-authority=/etc/kubernetes/ssl/ca.pem \  --embed-certs=true \  --server=https://172.20.0.113:6443

用户参数配置

设置客户端认证参数：

kubectl config set-credentials admin \  --client-certificate=/etc/kubernetes/ssl/admin.pem \  --embed-certs=true \  --client-key=/etc/kubernetes/ssl/admin-key.pem

上下文参数配置

将集群参数和用户参数关联起来：

kubectl config set-context kubernetes \  --cluster=kubernetes \  --user=admin

最后，设置默认上下文：

kubectl config use-context kubernetes

注意事项

生成的kubeconfig会被保存到~/.kube/config文件中。该文件描述了集群、用户和上下文的信息。集群参数设置了要访问的集群信息，用户参数设置了客户端的认证信息，上下文参数将集群参数和用户参数关联起来。

在实际操作中，用户需要确保其证书已经被集群CA签署。例如，在上述示例中，用户证书的OU字段为system:masters，这通常意味着该用户已经被授权访问集群API（通过RBAC授权）。具体到kube-apiserver，预定义的cluster-admin角色将system:masters组和cluster-admin角色绑定，从而授予了访问kube-apiserver相关API的权限。

参考资料

• Kubernetes官方文档
• Kubectl配置指南

转载地址：http://sqakz.baihongyu.com/