kubernetes集羣配置serviceaccount

Kubernetes API的其它服務。Service Account它並非給kubernetes集羣的用戶使用的,而是給pod裏面的進程使用的,它爲pod提供必要的身份認證。nginx

Kubernetes提供了Secret來處理敏感信息,目前Secret的類型有3種: 
Opaque(default): 任意字符串 
kubernetes.io/service-account-token: 做用於ServiceAccount
kubernetes.io/dockercfg: 做用於Docker registry,用戶下載docker鏡像認證使用。git

本文將介紹在kubernetes集羣中配置serviceaccount和secret,能夠讓kubernetes使用私有倉庫,並支持nginx basic認證。因爲咱們採用的是rpm包方式安裝的kubernetes集羣,默認沒有ca.crt、kubecfg.crt kubecfg.key 、server.cert 、server.key這些文件,須要下載源碼生成。github

1、使用工具生成key文件docker

# mkdir git
# cd git/
# git clone https://github.com/kubernetes/kubernetes

下載easy-rsa.tar.gz,下載地址在make-ca-cert.sh腳本中能夠找到,將文件放到~/kube目錄下json

# ls ~/kube
easy-rsa.tar.gz
# cd /root/git/kubernetes/
# sh cluster/centos/make-ca-cert.sh 192.168.115.5
# ls /srv/kubernetes/
ca.crt  kubecfg.crt  kubecfg.key  server.cert  server.key
# chown -R kube:kube /srv/kubernetes/*

將這些文件發送到vm2主機的相同目錄centos

# chown -R kube:kube /srv/kubernetes/*
# scp -rp /srv/ root@vm2:/

2、修改配置文件api

# grep -v '^#' /etc/kubernetes/apiserver |grep -v '^$'
KUBE_API_ADDRESS="--insecure-bind-address=192.168.115.5"
KUBE_ETCD_SERVERS="--etcd-servers=http://192.168.115.5:2379"
KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16"
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota"
KUBE_API_ARGS="--storage-backend=etcd2 --secure-port=6443 --client-ca-file=/srv/kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls-private-key-file=/srv/kubernetes/server.key"
# grep -v '^#' /etc/kubernetes/controller-manager |grep -v '^$'
KUBE_CONTROLLER_MANAGER_ARGS="--root-ca-file=/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes/server.key"

3、重啓相關服務frontend

Master:
# systemctl restart kube-apiserver
# systemctl restart kube-controller-manager
# systemctl restart kube-scheduler

Slave:
# systemctl restart kubelet
# systemctl restart kube-proxy

# kubectl get secret    
# kubectl describe secret default-token-6pddn

kubernetes集羣配置serviceaccount

4、經過配置secret,讓kubernetes能夠從私有倉庫中拉取鏡像ide

# kubectl create secret docker-registry regsecret \
--docker-server=registry.fjhb.cn  \
--docker-username=ylw \
 --docker-password=123 \
 --docker-email=ylw@fjhb.cn

kubernetes集羣配置serviceaccount
在yaml文件sepc節加入imagePullSecrets,指定使用建立好的secret
kubernetes集羣配置serviceaccount工具

# kubectl create -f frontend-controller.yaml

經過參考kubernetes的官方文檔,並不能解決實際問題
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

kubernetes集羣配置serviceaccount

nginx日誌依然報401認證錯誤
kubernetes集羣配置serviceaccount

咱們知道使用docker pull去私有倉庫拉取鏡像,須要先使用docker login登錄一下私有倉庫,而login執行的操做,實際上就是在用戶的家目錄寫入了.docker/config.json文件。將此文件作一個軟連接到 /var/lib/kubelet/.docker/就能夠解決此問題了。當配置了軟鏈接後就不須要在yaml文件中引用前面的建立的secret了。

# cat /root/.docker/config.json
# ln -s /root/.docker/ /var/lib/kubelet/.docker/

kubernetes集羣配置serviceaccount

# kubectl create -f frontend-controller.yaml

kubernetes集羣配置serviceaccount

相關文章
相關標籤/搜索