配置kubectl客户端通过token方式访问kube-apiserver
使用的变量
本文档用到的变 量定义如下:
$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP $ export KUBE_APISERVER="https://${MASTER_IP}:6443" $
创建 kubectl config 文件
$ # 设置集群参数 $ kubectl config set-cluster kubernetes \ --insecure-skip-tls-verify=true \ --server=${KUBE_APISERVER} $ # 设置客户端认证参数 $ kubectl config set-credentials crd-admin \ --token=7176d48e4e66ddb3557a82f2dd316a93 $ # 设置上下文参数 $ kubectl config set-context kubernetes \ --cluster=kubernetes \ --user=crd-admin \ --namespace=crd $ # 设置默认上下文 $ kubectl config use-context kubernetes
-
使用命令 head -c 16 /dev/urandom | od -An -t x | tr -d ' ' 生成token
kube-apiserver设置
添加kube-apiserver端token证书
$ cat > /etc/kubernetes/pki/token_auth_file<<EOF 7176d48e4e66ddb3557a82f2dd316a93,crd-admin,1 EOF
-
第一列为刚刚生成的token,要与config里的token一致
-
第二列为user, 要与config里的use一致
-
编号或是序列号
添加kube-spiserver启动参数 --token-auth-file=/etc/kubernetes/pki/token_auth_file
-
注意地址
-
需要重启kube-apiserver
-
证书验证和token和同时启用的,但是token和用户名密码,不可同时启用
配置客户端RBAC相关
限制 crd-admin 用户的行为,需要使用 RBAC 将该用户的行为限制在crd namespace 空间范围内
kubectl create -f crd-rbac.yaml
这样 crd-admin 用户对 crd namespace 具有完全访问权限。
crd-rbac.yaml具体内容:
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: crdadmin-admin-binding namespace: crd roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: admin subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: crd-admin
本文转自SegmentFault-配置kubectl客户端通过token方式访问kube-apiserver
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
面向业务开发者的 k8s 基本命令
随着容器技术的发展,k8s 也越来越火热。在网络 上有许多关于 k8s 的文章,但大部分都是关于集群部署相关的, 而这篇文章主要讲作为应用开发者如何使用 k8s 。 github 准备 预备知识 Docker,学习 k8s 之前了解 Docker 是毋庸置疑的。 工具 brew install kubectl 复制代码 kubectl 是 k8s 的命令行工具,用于管理 k8s 集群。以上是 Mac 下的安装方法,其它操作系统参考官方文档。当然,你也可以使用 Dashboard 管理容器。 Cluster k8s 集群,一般生产环境有一个 Cluster 集群,测试环境有一个 Cluster 集群。 Namespace 在一个 Cluster 会有不同的 Namespace,可以区分不同的业务团队。 Pod Pod 是 k8s 中最小的可部署单元。一般一个 Pod 运行一个 Container,但是有时也会运行多个 Container。类似 docker-compose。 Deployment Deployment 用来控制 Pod,比如控制一个应用起几个 Pod。 配置文件 关于 k...
- 下一篇
详解K8S与Rancher 2.0内的身份认证与授权
Rancher 2.0正式版已全面发布。Rancher 2.0是一个开源的Kubernetes管理平台,为企业用户提供Kubernetes-as-a-Service (Kubernetes即服务),并且能够实现多Kubernetes集群的统一纳管。这一创造性的统一纳管功能将解决生产环境中企业用户可能面临的基础设施不同的困境。Rancher 2.0是业界第一个能统一纳管来自Google(GKE)、Amazon(EKS)和Azure(AKS)等公有云上托管的Kubernetes服务的平台。 在Rancher 2.0中,我们重点关注的一个领域就是身份认证和授权。在Kubernetes强大的基础功能之外,Rancher 2.0格外专注于简易性和易用性,它是一个既强大又易于使用的系统。Rancher 2.0让管理员能够管理多集 群环境,同时还能够帮助用户快速启动并运行环境。本文将从身份认证和授权的角度,介绍Rancher能够给组织、管理员和用户带来哪些好处。 在深入讨论Rancher能带来什么之前,我们将先在本文前半部分简要回顾一下Kubernetes身份认证与授权相关的概念。如果想深入了解这些...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8编译安装MySQL8.0.19
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS关闭SELinux安全模块
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2整合Redis,开启缓存,提高访问速度