kubeconfig的用法及生成配置文件

最新推荐文章于 2025-03-12 23:14:41 发布
原创 最新推荐文章于 2025-03-12 23:14:41 发布 · 3.1w 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Kubernetes中kubeconfig的配置流程,包括如何使用证书和token进行身份认证,以及如何通过设置集群参数、客户端认证参数、上下文参数等生成kubeconfig文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubectl默认会从$HOME/.kube目录下查找文件名为 config 的文件,也能通过设置环境变量 KUBECONFIG 或者通过设置去指定其它 kubeconfig 文件。kubeconfig就是为访问集群所作的配置。

在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。

命令简介

kubectl config SUBCOMMAND

选项
      --kubeconfig="": 使用特定的配置文件。

继承自父命令的选项
      --alsologtostderr[=false]: 同时输出日志到标准错误控制台和文件。
      --api-version="": 和服务端交互使用的API版本。
      --certificate-authority="": 用以进行认证授权的.cert文件路径。
      --client-certificate="": TLS使用的客户端证书路径。
      --client-key="": TLS使用的客户端密钥路径。
      --cluster="": 指定使用的kubeconfig配置文件中的集群名。
      --context="": 指定使用的kubeconfig配置文件中的环境名。
      --insecure-skip-tls-verify[=false]: 如果为true,将不会检查服务器凭证的有效性,这会导致你的HTTPS链接变得不安全。
      --kubeconfig="": 命令行请求使用的配置文件路径。
      --log-backtrace-at=:0: 当日志长度超过定义的行数时,忽略堆栈信息。
      --log-dir="": 如果不为空,将日志文件写入此目录。
      --log-flush-frequency=5s: 刷新日志的最大时间间隔。
      --logtostderr[=true]: 输出日志到标准错误控制台,不输出到文件。
      --match-server-version[=false]: 要求服务端和客户端版本匹配。
      --namespace="": 如果不为空,命令将使用此namespace。
      --password="": API Server进行简单认证使用的密码。
  -s, --server="": Kubernetes API Server的地址和端口号。
      --stderrthreshold=2: 高于此级别的日志将被输出到错误控制台。
      --token="": 认证到API Server使用的令牌。
      --user="": 指定使用的kubeconfig配置文件中的用户名。
      --username="": API Server进行简单认证使用的用户名。
      --v=0: 指定输出日志的级别。
      --vmodule=: 指定输出日志的模块,格式如下:pattern=N,使用逗号分隔。

生成kubeconfig的配置步骤

1、定义变量
export KUBE_APISERVER="https://172.20.0.2:6443"
2、设置集群参数
kubectl config set-cluster kubernetes   --certificate-authority=/etc/kubernetes/ssl/ca.pem   --embed-certs=true   --server=${KUBE_APISERVER}   #可以指定路径kubeconfig=/root/config.conf

说明:集群参数主要设置了所需要访问的集群的信息。使用set-cluster设置了需要访问的集群,如上为kubernetes;--certificate-authority设置了该集群的公钥;--embed-certs为true表示将--certificate-authority证书写入到kubeconfig中;--server则表示该集群的kube-apiserver地址。
3、设置客户端认证参数
kubectl config set-credentials admin   --client-certificate=/etc/kubernetes/ssl/admin.pem   --embed-certs=true   --client-key=/etc/kubernetes/ssl/admin-key.pem #可以指定路径kubeconfig=/root/config.conf

说明:用户参数主要设置用户的相关信息,主要是用户证书。如上的用户名为admin,证书为:/etc/kubernetes/ssl/admin.pem,私钥为:/etc/kubernetes/ssl/admin-key.pem。注意客户端的证书首先要经过集群CA的签署,否则不会被集群认可。此处使用的是ca认证方式,也可以使用token认证,如kubelet的 TLS Boostrap机制下的bootstrapping使用的就是token认证方式。

4、设置上下文参数
kubectl config set-context kubernetes   --cluster=kubernetes   --user=admin #可以指定路径kubeconfig=/root/config.conf

说明:上下文参数将集群参数用户参数关联起来。如上面的上下文名称为kubenetes,集群为kubenetes,用户为admin,表示使用admin的用户凭证来访问kubenetes集群的default命名空间,也可以增加--namspace来指定访问的命名空间。
5、设置默认上下文
kubectl config use-context kubernetes  #可以指定路径kubeconfig=/root/config.conf

说明:最后使用kubectl config use-context kubernetes来使用名为kubenetes的环境项来作为配置。如果配置了多个环境项,可通过切换不同的环境项名字来访问到不同的集群环境。

默认生成的kubeconfig 被保存到 ~/.kube/config 文件

kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2145
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
【云原生技术】kubeconfig是什么?
最新发布
weixin_46453070的博客
06-26 612
**kubeconfig** 是 Kubernetes 的配置文件,主要用于存储访问 Kubernetes 集群所需的配置信息。这个文件包含了集群的地址、用户凭证、命名空间及其他配置信息,使得用户能够方便地与一个或多个 Kubernetes 集群进行交互。 ### kubeconfig 文件的结构 kubeconfig 文件通常是一个 YAML 格式的文件,包含多个部分,以下是主要的组成部分: 1. **clusters**: - 定义 Kubernetes 集群的列表,包括集群名称及其 API
k8s kubectl生成kube-config文件
weixin_30920597的博客
05-18 3132
配置kube配置文件   设置集群参数   kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/ssl/ca.pem --server=https://192.168.1.71:6443   cat ~/.kube/config   apiVersion: v1 clusters:...
【k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1178
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
【K8s】专题十:Kubernetes 生成特定 Kubeconfig 文件
运维、实施交付领域知识交流
08-07 1621
Kubernetes 专题 - 生成特定 Kubeconfig 文件
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2719
k8s如何生成一个完整的kubeconfig文件
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 920
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。
总结:kubectl之kubeconfig配置
w2009211777的专栏
03-29 2万+
一、介绍 我们一般使用kubectl去操作K8S集群,如部署Pod,获取node信息,获取pod信息,获取svc信息,删除某个svc等。 那我们就需要有个目标,具体是操作哪个K8S集群,操作权限等。 kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也能通过设置环境变量KUBECONFIG或者通过设置去指定其它 kubeconfig 文件。kubeconfig就是为访问集群所作的配置。 比如我们131服务器的配置文件:执行命令:cat ~/.kube/con...
【Kubernetes】Kubernetes 安装后.kube/config文件作用以及位置
九师兄
08-24 621
在这个例子中,kubeconfig文件定义了一个名为 “my-cluster” 的集群,一个名为 “my-user” 的用户,以及一个名为 “my-context” 的上下文,将集群和用户关联起来。kubeconfig文件包含了连接到Kubernetes集群所需的信息,如集群的地址、用户凭证信息(比如证书和密钥)、默认上下文等。这通常需要具有一定Kubernetes配置经验。总体而言,kubeconfig文件是一个关键的Kubernetes配置文件,用于管理访问和操作Kubernetes集群的权限。
Kubeconfig文件自动合并-实现K8S多集群切换
myy1066883508的博客
06-22 1762
前言 随着 Kubernetes 越来越流行,不管大公司还是小公司都往 Kubernetes 迁移,每个公司最少有两套集群(测试和生产),但是多个集群就有多个 Kubeconfig 用户授权文件。虽然官方文档中有介绍多个 Kubeconfig 文件合并成一个 Kubeconfig,但是对于一些新手来说,看得不是很明白。 本文介绍 Kubeconfig 文件结构,并推荐一个工具自动合并 KubeconfigKubeconfig 用途 kubectl 命令行工具通过 kubeconfig 文件的配置来选择集
kube-contrtoller-manager,kube-scheduler,kubectl,二进制安装的时候生成kubeconfig文件有什么作用?
06-10
在进行二进制安装时,生成kubeconfig文件包含了Kubernetes集群的连接信息,包括集群的地址、API Server的地址、CA证书和客户端证书等信息。kubeconfig文件可以让kubectl命令行工具连接到Kubernetes集群,以便进行...
kubernetes中.kube/config文件生成
paterl的博客
10-11 844
自己生成一个kubeconfig文件
oke(k8s)多集群集中控制管理kubeconfig文件的生成 ·『云原生品鉴与布道』·
旷远野壮 . 云卷云舒 『 耿晓芳 』的博客
03-20 612
1、备份原config文件2、设置KUBECONFIG环境变量(把要合并的kubeconfig文件都列出)注意:不同kubeconfig文件,context中的cluster和user的名称是不能相同的,即,cluster/name 和users/name 在不同的kubeconfig文件中不能一样,否则,合并的时候只留一个。- cluster:中name: == - context中cluster: 各个kubeconfig文件中的不能一样。
Kubernetes 的配置 kubeconfig
小侠客的专栏
10-23 3248
kubernetes配置
Kubernetes kubeconfig配置文件详细解读
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
11-23 2万+
kubeconfig配置文件 在node节点上可以执行kubectl命令吗? [root@k8s-node1 ~]# kubectl get node The connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080这个端口是k8s api(kube-apiserver非安全端口)的端口,在master上面可以执行成功其...
云原生工具集 · 管理多集群Kubeconfig
Marionxue
05-28 239
背景做为一个k8s的学习或者使用者,避免不了会操作不同的k8s集群,每次操作不同集群的时候,可能都会使用--kubeconfig指定要操作集群的配置文件,这样显得格外的麻烦,我使用过一段时...
k8s中kubeconfig的配置以及使用详解
墨鸦的博客
08-03 1万+
k8s中kubeconfig的配置以及使用详解
k8s集群内调试工具ktctl
文盲青年的博客
05-13 5787
ktctl是由阿里巴巴开发,可用于访问集群内 一、适用三种场景 场景一:本地与远端服务联调 在这种场景下,开发者只要直接使用ktctl connect打通本地到集群的网络即可,就可以直接在本地通过PodIP/SVC/DNS地址访问集群中的服务。 场景二:集群内服务于联调本地 在这个场景下,我们希望集群中所有对服务C的访问能够请求到本地正在开发的C’。因此开发者可以通过ktctl exhcnage命令,在集群内部署一个Shadow容器已接管所有原本对C实例的请求,再通过Shadow容器将请求转发到本地。并在
k8s命令行管理工具kubectl & 集群配置kubeconfig
ChaITSimpleLove的博客
11-29 5108
1.查看k8s命令 =》# kubectl --help 查看更多命令信息Find more information at: https://kubernetes.io/docs/reference/kubectl/overview/ k8s命令自动补全工具包,安装参考=》bash命令补全工具bash-completion 2.kubeconfig | kubectl使用kubeconfig认证文件连接k8s集群,使用kubectl config指令生产kubeconfig文件。 上面配..
写一个kubeconfig文件连接k8s环境
03-19
<think>嗯,用户想了解如何编写一个kubeconfig文件来连接Kubernetes环境。我需要先回忆一下kubeconfig的结构和作用。kubeconfig文件通常包含集群信息、用户凭证和上下文,对吧?用户可能是在搭建或者管理Kubernetes集群时需要这个文件,比如在本地kubectl配置连接远程集群的时候。 首先,我应该解释kubeconfig的基本组成部分。比如,clusters、users、contexts这几个部分。然后,每个部分的具体内容,比如集群的CA证书、API服务器地址,用户的客户端证书和密钥,或者token之类的认证信息。可能还需要提到不同的认证方式,比如客户端证书、token或者基本认证,但现在更常见的是证书或者token。 接下来,用户可能需要具体的示例。这时候我需要给出一个模板,用YAML格式展示,并且用$$...$$包裹,因为里面有代码块。注意要提醒用户替换其中的占位符,比如server地址、证书路径、名称等。还要确保他们了解各个字段的意义,比如cluster的证书颁发机构数据,user的client-certificate-data和client-key-data可能需要base64编码的内容,或者直接指定文件路径。 另外,可能需要说明如何生成这些凭证,比如通过kubectl命令或者手动生成。如果用户是从现有集群获取配置,可能kubectl config view可以查看当前的配置,或者使用kubectl config set-cluster等命令来生成。不过用户的问题更偏向于手动编写,所以重点放在文件结构上。 安全问题也是要考虑的,比如保护kubeconfig文件,避免泄露敏感信息。可能还要提到不同的context切换,使用kubectl config use-context命令来切换上下文。 用户可能遇到的问题,比如证书无效、权限不足,或者网络无法连接到API服务器,这时候需要检查证书是否正确,网络连通性,以及RBAC权限设置是否正确。同时,可能需要注意YAML格式的缩进是否正确,避免语法错误。 总结下来,步骤应该是:解释kubeconfig的结构,提供一个模板,说明如何替换各个部分,可能涉及的命令,以及常见问题的检查点。确保用户能够根据步骤一步步创建自己的kubeconfig文件,并成功连接到Kubernetes集群。</think>要编写用于连接Kubernetes集群的`kubeconfig`文件,需按以下步骤操作: ### 一、kubeconfig文件结构 `kubeconfig`文件是YAML格式,包含3个核心部分: 1. **集群信息**(Clusters):API Server地址和CA证书 2. **用户凭证**(Users):身份验证信息(证书、Token等) 3. **上下文**(Contexts):绑定集群与用户的关系 ### 二、基础模板示例 ```yaml $$ # 独立公式使用$$包裹 apiVersion: v1 kind: Config clusters: - name: my-cluster cluster: certificate-authority-data: <base64编码的CA证书> server: https://<API-Server-IP>:6443 users: - name: my-user user: client-certificate-data: <base64编码的用户证书> client-key-data: <base64编码的用户私钥> contexts: - name: my-context context: cluster: my-cluster user: my-user namespace: default current-context: my-context $$ ``` ### 三、关键参数说明 1. **证书获取方式**(二选一): - **直接引用文件路径**: ```yaml users: - name: my-user user: client-certificate: /path/to/client.crt client-key: /path/to/client.key ``` - **Base64编码数据**(推荐): ```shell # 生成base64编码 cat ca.crt | base64 -w0 ``` 2. **认证类型支持**: - X509客户端证书(如上例) - Bearer Token: ```yaml users: - name: token-user user: token: "Bearer xxxx.yyyy.zzzz" ``` - 基本认证(已不推荐) ### 四、验证配置文件 1. 设置环境变量指向配置文件: ```shell export KUBECONFIG=/path/to/kubeconfig ``` 2. 测试连接: ```shell kubectl get nodes ``` ### 五、常见问题排查 1. **证书错误**:检查CA证书是否与集群匹配,时间是否过期 2. **连接拒绝**:确认API Server地址和端口正确,检查防火墙规则 3. **权限不足**:通过RBAC配置用户权限 ### 六、高级配置技巧 1. **多集群管理**:在`clusters`和`contexts`中添加多个条目 2. **命名空间预设**: ```yaml contexts: - context: namespace: dev-env ``` > **注意**:生产环境中建议通过`kubectl config`命令生成配置文件,例如: > ```shell > kubectl config set-cluster my-cluster --server=https://1.2.3.4:6443 --certificate-authority=ca.crt > kubectl config set-credentials my-user --client-certificate=client.crt --client-key=client.key > kubectl config set-context my-context --cluster=my-cluster --user=my-user > ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菲宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值