第五章 kubernetes创建kubeconfig 文件

本文档详细介绍了如何在Kubernetes环境中创建kubeconfig文件,包括TLS Bootstrapping Token的生成、kubelet和kube-proxy的kubeconfig文件创建,并强调了文件分发和更新流程,以确保节点间安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

创建 kubeconfig 文件

提示:请先参考 安装kubectl命令行工具,先在 master 节点上安装 kubectl 然后再进行下面的操作。
kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权;

kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不需要为每个客户端生成证书了;该功能当前仅支持为 kubelet 生成证书;

因为我的master节点和node节点复用,所有在这一步其实已经安装了kubectl。参考安装kubectl命令行工具。

以下操作只需要在master节点上执行,生成的*.kubeconfig文件可以直接拷贝到node节点的/etc/kubernetes目录下

创建 TLS Bootstrapping Token

Token auth file

Token可以是任意的包涵128 bit的字符串,可以使用安全的随机数发生器生成。

export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

后三行是一句,直接复制上面的脚本运行即可。

==注意==:在进行后续操作前请检查 token.csv 文件,确认其中的 ${BOOTSTRAP_TOKEN} 环境变量已经被真实的值替换。

BOOTSTRAP_TOKEN 将被写入到 kube-apiserver 使用的 token.csv 文件和 kubelet 使用的 bootstrap.kubeconfig 文件,如果后续重新生成了 BOOTSTRAP_TOKEN,则需要:

  1. 更新 token.csv 文件,分发到所有机器 (master 和 node)的 /etc/kubernetes/ 目录下,分发到node节点上非必需;

  2. 重新生成 bootstrap.kubeconfig 文件,分发到所有 node 机器的 /etc/kubernetes/ 目录下;

  3. 重启 kube-apiserver 和 kubelet 进程;

  4. 重新 approve kubelet 的 csr 请求;

    cp token.csv /etc/kubernetes/

创建 kubelet bootstrapping kubeconfig 文件

cd /etc/kubernetes
export KUBE_APISERVER="https://172.16.200.100:6443"

# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=bootstrap.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap \
  --token=${BOOTSTRAP_TOKEN} \
  --kubeconfig=bootstrap.kubeconfig

# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kubelet-bootstrap \
  --kubeconfig=bootstrap.kubeconfig

# 设置默认上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
  • --embed-certs 为 true 时表示将 certificate-authority 证书写入到生成的 bootstrap.kubeconfig 文件中;
  • 设置客户端认证参数时没有指定秘钥和证书,后续由 kube-apiserver 自动生成;

创建 kube-proxy kubeconfig 文件

export KUBE_APISERVER="https://172.20.0.100:6443"
# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig
# 设置客户端认证参数
kubectl config set-credentials kube-proxy \
  --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
  --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig
# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig
# 设置默认上下文
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
  • 设置集群参数和客户端认证参数时 --embed-certs 都为 true,这会将 certificate-authority、client-certificate 和 client-key 指向的证书文件内容写入到生成的 kube-proxy.kubeconfig 文件中;
  • kube-proxy.pem 证书中 CN 为 system:kube-proxy,kube-apiserver 预定义的 RoleBinding cluster-admin 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;

分发 kubeconfig 文件

将两个 kubeconfig 文件分发到所有 Node 机器的 /etc/kubernetes/ 目录

cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/

关注微信公众号,获取更多信息

 

### Mock.js 使用教程、示例与语法 #### 什么是 Mock.js? Mock.js 是一款用于前端开发中的数据模拟工具,能够生成随机数据并拦截 Ajax 请求,从而帮助开发者快速构建页面原型。 --- #### 安装方式 如果项目基于浏览器环境,则可以直接通过 `<script>` 标签引入文件: ```html <script src="js/mock-min.js"></script> ``` 对于 Node.js 环境,推荐使用 npm 进行安装: ```bash npm install mockjs --save ``` --- #### 基本用法 以下是简单的入门案例展示如何创建和输出模拟数据: ```javascript // 引入 Mock.js 库 var Mock = require('mockjs'); // 定义数据模板 var dataTemplate = { // 数组长度为 1 至 10 的列表 'list|1-10': [{ // 自增 ID 起始值为 1 'id|+1': 1, // 随机生成名字 'name': '@FIRST' }] }; // 创建模拟数据 var result = Mock.mock(dataTemplate); // 打印 JSON 结果 console.log(JSON.stringify(result, null, 4)); ``` 上述代码会生成一个包含 `list` 字段的对象,其字段值是由指定规则动态生成的数据集合[^4]。 --- #### 数据模板定义规范 (DTD) 在 Mock.js 中,数据模板由键值对组成,其中键表示属性名称,而值则遵循特定的语法规则来描述该属性的内容。例如: - `'id|+1'`: 表明这是一个自增值。 - `'name': '@FIRST'`: 表达式前缀 @ 表示调用内置方法 FIRST 来生成首字母大写的英文单词作为姓名[^5]。 --- #### 数据占位符定义规范 (DPD) 除了静态配置外,还可以利用占位符实现更复杂的逻辑控制。比如时间戳转换或者字符串拼接等功能都可以借助此机制完成。 --- #### 实际应用场景举例 假设我们需要测试某个电商网站的商品详情页加载效果,但暂时无法获取真实接口返回的信息。此时就可以运用 Mock.js 构造相应结构体如下所示: ```javascript const productDetails = Mock.mock({ 'productId': /[A-Z]{8}/, // 商品编号格式类似于 ABCDEFGH 'title': '@CTITLE(5, 10)', // 主标题字数范围设定了介于五到十个字符之间 'price|1-999.2': 1 // 单价区间设定成整数部分最大不超过九百九十九元且保留两位小数精度 }); console.log(productDetails); ``` 以上脚本片段展示了怎样灵活调整参数以满足不同业务需求场景下的虚拟样本制造过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值