配置kubectl客戶端通過token方式訪問kube-apiserver

LdhAndroid 發(fā)布于2019-07-01 17:25 / 612人閱讀

摘要：幫助文檔使用的變量本文檔用到的變量定義如下替換為創(chuàng)建文件設(shè)置集群參數(shù)設(shè)置客戶端認(rèn)證參數(shù)設(shè)置上下文參數(shù)設(shè)置默認(rèn)上下文使用命令生成設(shè)置添加端證書第一列為剛剛生成的，要與里的一致第二列為，要

幫助文檔 使用的變量

本文檔用到的變量定義如下：

$ export MASTER_IP=XX.XX.XX.XX # 替換為 kubernetes master VIP
$ export KUBE_APISERVER="https://${MASTER_IP}:6443"
$

創(chuàng)建 kubectl config 文件

$ # 設(shè)置集群參數(shù)
$ kubectl config set-cluster kubernetes 
  --insecure-skip-tls-verify=true 
  --server=${KUBE_APISERVER} 
$ # 設(shè)置客戶端認(rèn)證參數(shù)
$ kubectl config set-credentials crd-admin 
 --token=7176d48e4e66ddb3557a82f2dd316a93 
$ # 設(shè)置上下文參數(shù)
$ kubectl config set-context kubernetes 
  --cluster=kubernetes 
  --user=crd-admin  
  --namespace=crd 
$ # 設(shè)置默認(rèn)上下文
$ kubectl config use-context kubernetes

使用命令 head -c 16 /dev/urandom | od -An -t x | tr -d " " 生成token

kube-apiserver設(shè)置 添加kube-apiserver端token證書

$ cat > /etc/kubernetes/pki/token_auth_file<

第一列為剛剛生成的token，要與config里的token一致

第二列為user， 要與config里的use一致

編號或是序列號


添加kube-spiserver啟動參數(shù) --token-auth-file=/etc/kubernetes/pki/token_auth_file

注意地址

需要重啟kube-apiserver

證書驗證和token和同時啟用的，但是token和用戶名密碼，不可同時啟用


配置客戶端RBAC相關(guān)
限制 crd-admin 用戶的行為，需要使用 RBAC 將該用戶的行為限制在crd namespace 空間范圍內(nèi)
kubectl create -f crd-rbac.yaml
這樣 crd-admin 用戶對 crd namespace 具有完全訪問權(quán)限。
crd-rbac.yaml具體內(nèi)容：
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: crdadmin-admin-binding
  namespace: crd
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: crd-admin