04-建立kubeconfig認證文件
本文檔記錄本身的學習歷程!
建立 kubeconfig 文件
kubelet、kube-proxy 等 Node 機器上的進程與 Master 機器的 kube-apiserver 進程通訊時須要認證和受權;node
kubernetes 1.4 開始支持由 kube-apiserver 爲客戶端生成 TLS 證書的 TLS Bootstrapping 功能,這樣就不須要爲每一個客戶端生成證書了;該功能當前僅支持爲 kubelet 生成證書;bootstrap
建立 TLS Bootstrapping Token
Token auth fileapi
Token能夠是任意的包涵128 bit的字符串,能夠使用安全的隨機數發生器生成安全
export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF
後三行是一句,直接複製上面的腳本運行便可。bash
將token.csv發到全部機器(Master 和 Node)的 /etc/kubernetes/ 目錄。app
# cp token.csv /etc/kubernetes/ # scp token.csv xxxx:/etc/kubernetes/
建立 kubelet bootstrapping kubeconfig 文件
# cd /etc/kubernetes
# export KUBE_APISERVER="https://192.168.1.121:6443"
# # 設置集羣參數
# kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
# # 設置客戶端認證參數
# kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig
# # 設置上下文參數
# kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig
# # 設置默認上下文
# kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
--embed-certs爲true時表示將certificate-authority證書寫入到生成的bootstrap.kubeconfig文件中;- 設置客戶端認證參數時沒有指定祕鑰和證書,後續由
kube-apiserver自動生成;
建立 kube-proxy kubeconfig 文件
# export KUBE_APISERVER="https://192.168.1.121:6443"
# # 設置集羣參數
# kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
# # 設置客戶端認證參數
# kubectl config set-credentials kube-proxy \
--client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
--client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig
# # 設置上下文參數
# kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig
3 # 設置默認上下文
# kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
- 設置集羣參數和客戶端認證參數時
--embed-certs都爲true,這會將certificate-authority、client-certificate和client-key指向的證書文件內容寫入到生成的kube-proxy.kubeconfig文件中; kube-proxy.pem證書中 CN 爲system:kube-proxy,kube-apiserver預約義的 RoleBindingcluster-admin將Usersystem:kube-proxy與 Rolesystem:node-proxier綁定,該 Role 授予了調用kube-apiserverProxy 相關 API 的權限;
分發 kubeconfig 文件
將兩個 kubeconfig 文件分發到全部 Node 機器的 /etc/kubernetes/ 目錄dom
# cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/ # scp bootstrap.kubeconfig kube-proxy.kubeconfig xxxx:/etc/kubernetes/
相關文章
- 1. ubuntu16 kubernetes1.6安裝(2、建立kubeconfig文件)
- 2. 手動建立 k8s kubeconfig 文件以實現多環境切換
- 3. k8s集羣部署五(建立Node節點kubeconfig文件)
- 4. kubernetes搭建 4、kubeconfig
- 5. 04.RxSwift Observable建立
- 6. K8S 集羣中的認證、受權與kubeconfig
- 7. 04.建立型————建立者模式
- 8. TOMCAT建立SSL連接單向認證
- 9. MongoDB副本集建立與認證(六)
- 10. 建立文件
- 更多相關文章...
- • Maven 構建配置文件 - Maven教程
- • Eclipse 創建 XML 文件 - Eclipse 教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • SpringBoot中properties文件不能自動提示解決方法
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
