- 创建kubectl证书请求文件
- 生成admin证书文件
- 复制admin证书到指定目录
- 生成kubeconfig配置文件
- 接下来完成kubectl配置文件的角色绑定
- 【扩展】kubectl命令补全操作
继续上一篇文章《k8s二进制集群之Kube ApiServer部署》下面介绍一下k8s中的命令行管理工具kubectl。
通过kubectl可以与k8s集群进行交互与操作,可以用它来创建、更新、删除和描述集群中的各种资源,如节点、部署、服务、Pod、ReplicaSet、StatefulSet、DaemonSet、Job 、 CronJob,包括故障排查、信息获取和配置管理等。
创建kubectl证书请求文件
后续kube-apiserver 使用RBAC对客户端(如kubelet、kube-proxy、Pod)请求进行授权;
kube-apiserver 预定义了一些 RBAC使用的 RoleBindings,如 cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定,该Role 授予了调用kube-apiserver 的所有 API的权限;
O指定该证书的 Group 为 system:masters, kubelet使用该证书访问 kube-apiserver 时,由于证书被CA签名,所以认证通过,同时由于证书用户组为经过预授权的 system:masters,所以被授予访问所有 API的权限;
cat > admin-csr.json <<"EOF"
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C":"CN",
"ST":"zhejiang",
"L":"hangzhou",
"O":"system:masters",
"OU":"system"
}]
}
EOF
生成admin证书文件
拥有amdin证书才可以管理和维护k8s集群、安全性校验以及k8s API的授权访问;
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare
