第五章 kubernetes创建kubeconfig 文件

最新推荐文章于 2025-06-09 09:07:05 发布
最新推荐文章于 2025-06-09 09:07:05 发布
阅读量5k 收藏 6
点赞数
本文档详细介绍了如何在Kubernetes环境中创建kubeconfig文件,包括TLS Bootstrapping Token的生成、kubelet和kube-proxy的kubeconfig文件创建,并强调了文件分发和更新流程,以确保节点间安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

创建 kubeconfig 文件

提示:请先参考 安装kubectl命令行工具,先在 master 节点上安装 kubectl 然后再进行下面的操作。
kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权;

kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不需要为每个客户端生成证书了;该功能当前仅支持为 kubelet 生成证书;

因为我的master节点和node节点复用,所有在这一步其实已经安装了kubectl。参考安装kubectl命令行工具。

以下操作只需要在master节点上执行,生成的*.kubeconfig文件可以直接拷贝到node节点的/etc/kubernetes目录下

创建 TLS Bootstrapping Token

Token auth file

Token可以是任意的包涵128 bit的字符串,可以使用安全的随机数发生器生成。

export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

后三行是一句,直接复制上面的脚本运行即可。

==注意==:在进行后续操作前请检查 token.csv 文件,确认其中的 ${BOOTSTRAP_TOKEN} 环境变量已经被真实的值替换。

BOOTSTRAP_TOKEN 将被写入到 kube-apiserver 使用的 token.csv 文件和 kubelet 使用的 bootstrap.kubeconfig 文件,如果后续重新生成了 BOOTSTRAP_TOKEN,则需要:

  1. 更新 token.csv 文件,分发到所有机器 (master 和 node)的 /etc/kubernetes/ 目录下,分发到node节点上非必需;

  2. 重新生成 bootstrap.kubeconfig 文件,分发到所有 node 机器的 /etc/kubernetes/ 目录下;

  3. 重启 kube-apiserver 和 kubelet 进程;

  4. 重新 approve kubelet 的 csr 请求;

    cp token.csv /etc/kubernetes/

创建 kubelet bootstrapping kubeconfig 文件

cd /etc/kubernetes
export KUBE_APISERVER="https://172.16.200.100:6443"

# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=bootstrap.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap \
  --token=${BOOTSTRAP_TOKEN} \
  --kubeconfig=bootstrap.kubeconfig

# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kubelet-bootstrap \
  --kubeconfig=bootstrap.kubeconfig

# 设置默认上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
  • --embed-certs 为 true 时表示将 certificate-authority 证书写入到生成的 bootstrap.kubeconfig 文件中;
  • 设置客户端认证参数时没有指定秘钥和证书,后续由 kube-apiserver 自动生成;

创建 kube-proxy kubeconfig 文件

export KUBE_APISERVER="https://172.20.0.100:6443"
# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig
# 设置客户端认证参数
kubectl config set-credentials kube-proxy \
  --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
  --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig
# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig
# 设置默认上下文
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
  • 设置集群参数和客户端认证参数时 --embed-certs 都为 true,这会将 certificate-authority、client-certificate 和 client-key 指向的证书文件内容写入到生成的 kube-proxy.kubeconfig 文件中;
  • kube-proxy.pem 证书中 CN 为 system:kube-proxy,kube-apiserver 预定义的 RoleBinding cluster-admin 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;

分发 kubeconfig 文件

将两个 kubeconfig 文件分发到所有 Node 机器的 /etc/kubernetes/ 目录

cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/

关注微信公众号,获取更多信息

 

qq_37950254
关注
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2138
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
kubernetes】部署kube-apiserver与kubectl
weixin_45842494的博客
06-20 1107
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
kubernetes学习:5.创建 kubeconfig 文件
linux_player_c(系统&开发)
04-07 4527
创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权,所以需要生成相关的配置信息。在master节点上创建相关kubeconfig文件,然后将文件拷贝到node节点上。 kubernetes 自1.4引入了一个用于从集群级证书颁发机构(CA)请求证书的API。这个a...
Kubernetes 集群访问管理:深入理解 kubeconfig 文件
最新发布
gitblog_00475的博客
06-09 368
Kubernetes 集群访问管理:深入理解 kubeconfig 文件 什么是 kubeconfig 文件 kubeconfig 文件Kubernetes 中用于管理集群访问配置的核心文件。它采用 YAML 格式,包含了访问 Kubernetes 集群所需的所有信息,包括: 集群端点地址 认证凭据 上下文信息 命名空间设置 kubectl 命令行工具默认会在 $HOME/.kube 目录...
【k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1178
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
kubernetes搭建 四、kubeconfig
光明小学王小雨的博客
03-26 2319
kubeconfig是用于在node节点上kubelet和kube-proxy访问集群的认证。 以下操作在master上进行,然后到时候再统一分发到node节点上 kubernetes安装包下载,下载后然后解压 下载地址https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.12.md mkdir k8s_download...
创建用户认证授权的 kubeconfig 文件
小云的博客
05-26 920
创建用户认证授权的 kubeconfig 文件 当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个 cby 用户并将其绑定到 cby 和 chenby 的 namespace 为例说明。创建生成证书配置文件 详细见:https://github.com/cby-chen/Kubernetes#2...
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 916
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。
第七章 Kubernetes 存储-configMap
02-08 924
ConfigMap 是用来存储配置文件Kubernetes 资源对象,配置对象存储在 Etcd 中,配置的形式可以是完整的配置文件、key/value 等形式。ConfigMap对像是一系列配置的集合,k8s会将这一集合注入到对应的Pod对像中,并为容器成功启动使用。注入的方式一般有两种,一种是挂载存储卷,一种是传递变量。ConfigMap被引用之前必须存在,属于名称空间级别,不能跨名称空间使用,内容明文显示。
k8s集群部署二:flannel网络、为node节点创建kubeconfig文件
lyzkks的博客
04-15 1万+
Overlay Network模式 覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。 VXLAN 将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址。 Flannel 是Overlay网络的一种,也是将源数据包封装在另一种网络包里面进行路...
k8s之安装证书和kubectl和生成kubeconfig
混子小磊哥的博客
09-07 1544
环境:centos7.8 安装CFSSL: 直接使⽤⼆进制源码包安装: 我的下载地址https://pkg.cfssl.org 找到cfssl-certinfo_1.6.1_linux_amd64,cfssljson_1.6.1_linux_amd64,cfssl_1.6.1_linux_amd64下载下来并用scp拷贝到centos中 到三个文件的目录中,并给予权限: chmod +x cfssl-certinfo_1.6.1_linux_amd64 chmod +x cfssljson_1
kuberneteskubeconfig文件和context的使用
认知 行动 坚持
06-26 4908
1.kubeconfig文件 使用 kubeconfig 文件来组织有关集群、用户、命名空间和身份认证机制的信息。kubectl 命令行工具使用 kubeconfig 文件来查找选择集群所需的信息,并与集群的 API 服务器进行通信。 注:用于配置集群访问的文件称为 kubeconfig 文件。这是引用配置文件的通用方法。这并不意味着有一个名为 kubeconfig文件 默认情况下,kubectl 在 $HOME/.kube 目录下查找名为 config 的文件。 您可以通过设置 KUBECONFI
k8s 生成config 文件
qq_36270681的博客
02-23 3061
拷贝文件给master scp admin.pem 10.1.234.30:/opt/kubernetes/ssl/ scp admin-key.pem 10.1.234.30:/opt/kubernetes/ssl/ [root@k8s-master1 ~]# cat config.sh # 配置kubernetes集群参数 kubectl config set-cluster kubernetes \ --certificate-authority=/opt/kubernetes..
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2710
k8s如何生成一个完整的kubeconfig文件
k8s中集群配置文件config生成
chang_rj的博客
03-26 5310
本文是在已有集群的基础上进行重新配置kubelet实现的 kubectl:使用 ca.pem、admin-key.pem、admin.pem; cd k8s-cert/ vi admin-csr.json ---------- { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, ...
kubernetes 生成认证文件
zhaoyangjian724的专栏
11-02 453
kubernetes
k8s学习: kubeconfig文件详解
热门推荐
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
kubernetes集群命令kube-proxy详解
lixinkuan的博客
01-14 5368
前言 proxy和dns这2个功能非常非常的重要,但是从技术层面他们属于kubernetes的附加组件,可以有也可以没有,如果需要service的功能可以添加kubernetes proxy,如果需要dns通过名字解析服务就需要增加kubernetes dns组件。非必须的功能做成组件的形式,而不是必须安装的形式。这也说明了kubernetes的设计,尽量避免这种强依赖,首先就为集群增加prox...
Kubernetes安装之十:配置node节点之kube-proxy
weixin_33758863的博客
02-18 1276
1.创建kube证书cat > /etc/ssl/kube-proxy/kube-proxy-csr.json <<EOF { "CN": "system:kube-proxy", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST"...
mockjs使用
04-01
### Mock.js 使用教程、示例与语法 #### 什么是 Mock.js? Mock.js 是一款用于前端开发中的数据模拟工具,能够生成随机数据并拦截 Ajax 请求,从而帮助开发者快速构建页面原型。 --- #### 安装方式 如果项目基于浏览器环境,则可以直接通过 `<script>` 标签引入文件: ```html <script src="js/mock-min.js"></script> ``` 对于 Node.js 环境,推荐使用 npm 进行安装: ```bash npm install mockjs --save ``` --- #### 基本用法 以下是简单的入门案例展示如何创建和输出模拟数据: ```javascript // 引入 Mock.js 库 var Mock = require('mockjs'); // 定义数据模板 var dataTemplate = { // 数组长度为 1 至 10 的列表 'list|1-10': [{ // 自增 ID 起始值为 1 'id|+1': 1, // 随机生成名字 'name': '@FIRST' }] }; // 创建模拟数据 var result = Mock.mock(dataTemplate); // 打印 JSON 结果 console.log(JSON.stringify(result, null, 4)); ``` 上述代码会生成一个包含 `list` 字段的对象,其字段值是由指定规则动态生成的数据集合[^4]。 --- #### 数据模板定义规范 (DTD) 在 Mock.js 中,数据模板由键值对组成,其中键表示属性名称,而值则遵循特定的语法规则来描述该属性的内容。例如: - `'id|+1'`: 表明这是一个自增值。 - `'name': '@FIRST'`: 表达式前缀 @ 表示调用内置方法 FIRST 来生成首字母大写的英文单词作为姓名[^5]。 --- #### 数据占位符定义规范 (DPD) 除了静态配置外,还可以利用占位符实现更复杂的逻辑控制。比如时间戳转换或者字符串拼接等功能都可以借助此机制完成。 --- #### 实际应用场景举例 假设我们需要测试某个电商网站的商品详情页加载效果,但暂时无法获取真实接口返回的信息。此时就可以运用 Mock.js 构造相应结构体如下所示: ```javascript const productDetails = Mock.mock({ 'productId': /[A-Z]{8}/, // 商品编号格式类似于 ABCDEFGH 'title': '@CTITLE(5, 10)', // 主标题字数范围设定了介于五到十个字符之间 'price|1-999.2': 1 // 单价区间设定成整数部分最大不超过九百九十九元且保留两位小数精度 }); console.log(productDetails); ``` 以上脚本片段展示了怎样灵活调整参数以满足不同业务需求场景下的虚拟样本制造过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值