Kubernetes API的其它服務。Service Account它並非給kubernetes集羣的用戶使用的,而是給pod裏面的進程使用的,它爲pod提供必要的身份認證。nginx
Kubernetes提供了Secret來處理敏感信息,目前Secret的類型有3種:
Opaque(default): 任意字符串
kubernetes.io/service-account-token: 做用於ServiceAccount
kubernetes.io/dockercfg: 做用於Docker registry,用戶下載docker鏡像認證使用。git
本文將介紹在kubernetes集羣中配置serviceaccount和secret,能夠讓kubernetes使用私有倉庫,並支持nginx basic認證。因爲咱們採用的是rpm包方式安裝的kubernetes集羣,默認沒有ca.crt、kubecfg.crt kubecfg.key 、server.cert 、server.key這些文件,須要下載源碼生成。github
1、使用工具生成key文件docker
# mkdir git # cd git/ # git clone https://github.com/kubernetes/kubernetes
下載easy-rsa.tar.gz,下載地址在make-ca-cert.sh腳本中能夠找到,將文件放到~/kube目錄下json
# ls ~/kube easy-rsa.tar.gz # cd /root/git/kubernetes/ # sh cluster/centos/make-ca-cert.sh 192.168.115.5 # ls /srv/kubernetes/ ca.crt kubecfg.crt kubecfg.key server.cert server.key # chown -R kube:kube /srv/kubernetes/*
將這些文件發送到vm2主機的相同目錄centos
# chown -R kube:kube /srv/kubernetes/* # scp -rp /srv/ root@vm2:/
2、修改配置文件api
# grep -v '^#' /etc/kubernetes/apiserver |grep -v '^$' KUBE_API_ADDRESS="--insecure-bind-address=192.168.115.5" KUBE_ETCD_SERVERS="--etcd-servers=http://192.168.115.5:2379" KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16" KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota" KUBE_API_ARGS="--storage-backend=etcd2 --secure-port=6443 --client-ca-file=/srv/kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls-private-key-file=/srv/kubernetes/server.key"
# grep -v '^#' /etc/kubernetes/controller-manager |grep -v '^$' KUBE_CONTROLLER_MANAGER_ARGS="--root-ca-file=/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes/server.key"
3、重啓相關服務frontend
Master: # systemctl restart kube-apiserver # systemctl restart kube-controller-manager # systemctl restart kube-scheduler Slave: # systemctl restart kubelet # systemctl restart kube-proxy # kubectl get secret # kubectl describe secret default-token-6pddn
4、經過配置secret,讓kubernetes能夠從私有倉庫中拉取鏡像ide
# kubectl create secret docker-registry regsecret \ --docker-server=registry.fjhb.cn \ --docker-username=ylw \ --docker-password=123 \ --docker-email=ylw@fjhb.cn
在yaml文件sepc節加入imagePullSecrets,指定使用建立好的secret工具
# kubectl create -f frontend-controller.yaml
經過參考kubernetes的官方文檔,並不能解決實際問題
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/
nginx日誌依然報401認證錯誤
咱們知道使用docker pull去私有倉庫拉取鏡像,須要先使用docker login登錄一下私有倉庫,而login執行的操做,實際上就是在用戶的家目錄寫入了.docker/config.json文件。將此文件作一個軟連接到 /var/lib/kubelet/.docker/就能夠解決此問題了。當配置了軟鏈接後就不須要在yaml文件中引用前面的建立的secret了。
# cat /root/.docker/config.json # ln -s /root/.docker/ /var/lib/kubelet/.docker/
# kubectl create -f frontend-controller.yaml