本文共 1149 字,大约阅读时间需要 3 分钟。
在一个启用了TLS的 Kubernetes 集群中,集群访问不可或缺的就是身份认证,而使用kubeconfig(即证书)和token两种方式是最简单也是最通用的认证方式。
以kubectl为例来讲解kubeconfig的配置。kubectl本质上是一个用Go编写的可执行程序,只要给kubectl配置了合适的kubeconfig,就可以在集群中的任意节点上使用。默认情况下,kubectl会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过命令去指定其他kubeconfig文件。
通过以下命令可以设置所需访问的集群信息:
kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=https://172.20.0.113:6443
设置客户端认证参数:
kubectl config set-credentials admin \ --client-certificate=/etc/kubernetes/ssl/admin.pem \ --embed-certs=true \ --client-key=/etc/kubernetes/ssl/admin-key.pem
将集群参数和用户参数关联起来:
kubectl config set-context kubernetes \ --cluster=kubernetes \ --user=admin
最后,设置默认上下文:
kubectl config use-context kubernetes
生成的kubeconfig会被保存到~/.kube/config文件中。该文件描述了集群、用户和上下文的信息。集群参数设置了要访问的集群信息,用户参数设置了客户端的认证信息,上下文参数将集群参数和用户参数关联起来。
在实际操作中,用户需要确保其证书已经被集群CA签署。例如,在上述示例中,用户证书的OU字段为system:masters,这通常意味着该用户已经被授权访问集群API(通过RBAC授权)。具体到kube-apiserver,预定义的cluster-admin角色将system:masters组和cluster-admin角色绑定,从而授予了访问kube-apiserver相关API的权限。
转载地址:http://sqakz.baihongyu.com/