配置kubectl客户端通过token方式访问kube-apiserver-低调大师

配置kubectl客户端通过token方式访问kube-apiserver

2018-12-16 644

使用的变量

本文档用到的变量定义如下：

$ export MASTER_IP=XX.XX.XX.XX # 替换为 kubernetes master VIP
$ export KUBE_APISERVER="https://${MASTER_IP}:6443"
$

创建 kubectl config 文件

$ # 设置集群参数
$ kubectl config set-cluster kubernetes \
 --insecure-skip-tls-verify=true \
 --server=${KUBE_APISERVER} 
$ # 设置客户端认证参数
$ kubectl config set-credentials crd-admin \
 --token=7176d48e4e66ddb3557a82f2dd316a93 
$ # 设置上下文参数
$ kubectl config set-context kubernetes \
 --cluster=kubernetes \
 --user=crd-admin \
 --namespace=crd 
$ # 设置默认上下文
$ kubectl config use-context kubernetes

使用命令 head -c 16 /dev/urandom | od -An -t x | tr -d ' ' 生成token

kube-apiserver设置

添加kube-apiserver端token证书

$ cat > /etc/kubernetes/pki/token_auth_file<<EOF
7176d48e4e66ddb3557a82f2dd316a93,crd-admin,1
 EOF

第一列为刚刚生成的token，要与config里的token一致
第二列为user，要与config里的use一致
编号或是序列号

添加kube-spiserver启动参数 --token-auth-file=/etc/kubernetes/pki/token_auth_file

注意地址
需要重启kube-apiserver
证书验证和token和同时启用的，但是token和用户名密码，不可同时启用

配置客户端RBAC相关

限制 crd-admin 用户的行为，需要使用 RBAC 将该用户的行为限制在crd namespace 空间范围内

kubectl create -f crd-rbac.yaml

这样 crd-admin 用户对 crd namespace 具有完全访问权限。

crd-rbac.yaml具体内容：

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: crdadmin-admin-binding namespace: crd roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: admin subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: crd-admin

本文转自SegmentFault-配置kubectl客户端通过token方式访问kube-apiserver

微信关注我们

原文链接：https://yq.aliyun.com/articles/679976

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

面向业务开发者的 k8s 基本命令

随着容器技术的发展，k8s 也越来越火热。在网络上有许多关于 k8s 的文章，但大部分都是关于集群部署相关的，而这篇文章主要讲作为应用开发者如何使用 k8s 。 github 准备预备知识 Docker，学习 k8s 之前了解 Docker 是毋庸置疑的。工具 brew install kubectl 复制代码 kubectl 是 k8s 的命令行工具，用于管理 k8s 集群。以上是 Mac 下的安装方法，其它操作系统参考官方文档。当然，你也可以使用 Dashboard 管理容器。 Cluster k8s 集群，一般生产环境有一个 Cluster 集群，测试环境有一个 Cluster 集群。 Namespace 在一个 Cluster 会有不同的 Namespace，可以区分不同的业务团队。 Pod Pod 是 k8s 中最小的可部署单元。一般一个 Pod 运行一个 Container，但是有时也会运行多个 Container。类似 docker-compose。 Deployment Deployment 用来控制 Pod，比如控制一个应用起几个 Pod。配置文件关于 k...

2018-12-17

568

Rancher 2.0正式版已全面发布。Rancher 2.0是一个开源的Kubernetes管理平台，为企业用户提供Kubernetes-as-a-Service (Kubernetes即服务)，并且能够实现多Kubernetes集群的统一纳管。这一创造性的统一纳管功能将解决生产环境中企业用户可能面临的基础设施不同的困境。Rancher 2.0是业界第一个能统一纳管来自Google（GKE）、Amazon（EKS）和Azure（AKS）等公有云上托管的Kubernetes服务的平台。在Rancher 2.0中，我们重点关注的一个领域就是身份认证和授权。在Kubernetes强大的基础功能之外，Rancher 2.0格外专注于简易性和易用性，它是一个既强大又易于使用的系统。Rancher 2.0让管理员能够管理多集群环境，同时还能够帮助用户快速启动并运行环境。本文将从身份认证和授权的角度，介绍Rancher能够给组织、管理员和用户带来哪些好处。在深入讨论Rancher能带来什么之前，我们将先在本文前半部分简要回顾一下Kubernetes身份认证与授权相关的概念。如果想深入了解这些...

2018-12-17

538

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。