Kubernetes安裝之五：配置kubectl客戶端

1.建立kubectl 證書

cat > /etc/ssl/kubectl/admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ChengDu",
      "L": "ChengDu",
      "O": "system:masters",
      "OU": "dessler"
    }
  ]
}
EOF
複製代碼

cfssl gencert -ca=/etc/ssl/ca.pem \
  -ca-key=/etc/ssl/ca-key.pem \
  -config=//etc/ssl/ca-config.json \
  -profile=kubernetes admin-csr.json | cfssljson -bare admin
複製代碼

ls
admin.csr  admin-csr.json  admin-key.pem  admin.pem
複製代碼

• 說明：
• 爲system:masters，kube-apiserver 收到該證書後將請求的 Group 設置爲 system:masters
• 預約義的 ClusterRoleBinding cluster-admin 將 Group system:masters 與 Role cluster-admin 綁定，該 Role 授予全部 API的權限
• 該證書只會被 kubectl 當作 client 證書使用，因此 hosts 字段爲空

2.分發kubctl 二進制文件及證書

3.建立kubectl.kubeconfig配置文件

kubectl config set-cluster kubernetes \
>   --certificate-authority=/etc/ssl/ca.pem \
>   --embed-certs=true \
>   --server=https://192.168.1.43:8443 \
>   --kubeconfig=kubectl.kubeconfig
Cluster "kubernetes" set.
複製代碼

kubectl config set-credentials admin \
>   --client-certificate=/etc/ssl/kubectl/admin.pem \
>   --client-key=/etc/ssl/kubectl/admin-key.pem \
>   --embed-certs=true \
>   --kubeconfig=kubectl.kubeconfig
User "admin" set.
複製代碼

kubectl config set-context kubernetes \
>   --cluster=kubernetes \
>   --user=admin \
>   --kubeconfig=kubectl.kubeconfig
Context "kubernetes" created.
複製代碼

kubectl config use-context kubernetes --kubeconfig=kubectl.kubeconfig
Switched to context "kubernetes". 
複製代碼

• 說明：
• --certificate-authority：驗證 kube-apiserver 證書的根證書
• --client-certificate、--client-key：剛生成的admin 證書和私鑰，鏈接 kube-apiserver 時使用
• --embed-certs=true：將pem 和 admin.pem 證書內容嵌入到生成的 kubectl.kubeconfig 文件中(不加時，寫入的是證書文件路徑)

4.將kubectl.kubeconfig 分發到/root/.kube/config文件

        其餘服務若是須要使用kubectl命令，只要有二進制文件和這個配置文件，就能夠直接鏈接kubernetes集羣