第五章 kubernetes创建kubeconfig 文件

最新推荐文章于 2025-05-18 21:07:34 发布
翻译 最新推荐文章于 2025-05-18 21:07:34 发布 · 5k 阅读 · 6

本文档详细介绍了如何在Kubernetes环境中创建kubeconfig文件,包括TLS Bootstrapping Token的生成、kubelet和kube-proxy的kubeconfig文件创建,并强调了文件分发和更新流程,以确保节点间安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

创建 kubeconfig 文件

提示:请先参考 安装kubectl命令行工具,先在 master 节点上安装 kubectl 然后再进行下面的操作。
kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权;

kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不需要为每个客户端生成证书了;该功能当前仅支持为 kubelet 生成证书;

因为我的master节点和node节点复用,所有在这一步其实已经安装了kubectl。参考安装kubectl命令行工具。

以下操作只需要在master节点上执行,生成的*.kubeconfig文件可以直接拷贝到node节点的/etc/kubernetes目录下

创建 TLS Bootstrapping Token

Token auth file

Token可以是任意的包涵128 bit的字符串,可以使用安全的随机数发生器生成。

export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
cat > token.csv <<EOF
${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
EOF

后三行是一句,直接复制上面的脚本运行即可。

==注意==:在进行后续操作前请检查 token.csv 文件,确认其中的 ${BOOTSTRAP_TOKEN} 环境变量已经被真实的值替换。

BOOTSTRAP_TOKEN 将被写入到 kube-apiserver 使用的 token.csv 文件和 kubelet 使用的 bootstrap.kubeconfig 文件,如果后续重新生成了 BOOTSTRAP_TOKEN,则需要:

  1. 更新 token.csv 文件,分发到所有机器 (master 和 node)的 /etc/kubernetes/ 目录下,分发到node节点上非必需;

  2. 重新生成 bootstrap.kubeconfig 文件,分发到所有 node 机器的 /etc/kubernetes/ 目录下;

  3. 重启 kube-apiserver 和 kubelet 进程;

  4. 重新 approve kubelet 的 csr 请求;

    cp token.csv /etc/kubernetes/

创建 kubelet bootstrapping kubeconfig 文件

cd /etc/kubernetes
export KUBE_APISERVER="https://172.16.200.100:6443"

# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=bootstrap.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap \
  --token=${BOOTSTRAP_TOKEN} \
  --kubeconfig=bootstrap.kubeconfig

# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kubelet-bootstrap \
  --kubeconfig=bootstrap.kubeconfig

# 设置默认上下文
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
  • --embed-certs 为 true 时表示将 certificate-authority 证书写入到生成的 bootstrap.kubeconfig 文件中;
  • 设置客户端认证参数时没有指定秘钥和证书,后续由 kube-apiserver 自动生成;

创建 kube-proxy kubeconfig 文件

export KUBE_APISERVER="https://172.20.0.100:6443"
# 设置集群参数
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=kube-proxy.kubeconfig
# 设置客户端认证参数
kubectl config set-credentials kube-proxy \
  --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
  --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
  --embed-certs=true \
  --kubeconfig=kube-proxy.kubeconfig
# 设置上下文参数
kubectl config set-context default \
  --cluster=kubernetes \
  --user=kube-proxy \
  --kubeconfig=kube-proxy.kubeconfig
# 设置默认上下文
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
  • 设置集群参数和客户端认证参数时 --embed-certs 都为 true,这会将 certificate-authority、client-certificate 和 client-key 指向的证书文件内容写入到生成的 kube-proxy.kubeconfig 文件中;
  • kube-proxy.pem 证书中 CN 为 system:kube-proxy,kube-apiserver 预定义的 RoleBinding cluster-admin 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;

分发 kubeconfig 文件

将两个 kubeconfig 文件分发到所有 Node 机器的 /etc/kubernetes/ 目录

cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/

关注微信公众号,获取更多信息

 

qq_37950254
关注
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2147
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
【云原生技术】kubeconfig是什么?
最新发布
weixin_46453070的博客
06-26 790
**kubeconfig** 是 Kubernetes 的配置文件,主要用于存储访问 Kubernetes 集群所需的配置信息。这个文件包含了集群的地址、用户凭证、命名空间及其他配置信息,使得用户能够方便地与一个或多个 Kubernetes 集群进行交互。 ### kubeconfig 文件的结构 kubeconfig 文件通常是一个 YAML 格式的文件,包含多个部分,以下是主要的组成部分: 1. **clusters**: - 定义 Kubernetes 集群的列表,包括集群名称及其 API
kubernetes学习:5.创建 kubeconfig 文件
linux_player_c(系统&开发)
04-07 4527
创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权,所以需要生成相关的配置信息。在master节点上创建相关kubeconfig文件,然后将文件拷贝到node节点上。 kubernetes 自1.4引入了一个用于从集群级证书颁发机构(CA)请求证书的API。这个a...
【k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1185
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
kubernetes搭建 四、kubeconfig
光明小学王小雨的博客
03-26 2319
kubeconfig是用于在node节点上kubelet和kube-proxy访问集群的认证。 以下操作在master上进行,然后到时候再统一分发到node节点上 kubernetes安装包下载,下载后然后解压 下载地址https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.12.md mkdir k8s_download...
创建用户认证授权的 kubeconfig 文件
小云的博客
05-26 928
创建用户认证授权的 kubeconfig 文件 当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个 cby 用户并将其绑定到 cby 和 chenby 的 namespace 为例说明。创建生成证书配置文件 详细见:https://github.com/cby-chen/Kubernetes#2...
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 928
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。
如何给K8S配置一个具有永久有效的kubeconfig
小杨同学的博客
05-18 392
在 Amazon EKS 环境中,Kubernetes 的认证机制与 AWS IAM 深度集成,通过aws-iam-authenticator动态生成临时凭证。这种设计虽然增强了安全性,但给需要持久化凭证的工具链(如 CI/CD 系统中的 KubeVela)带来了挑战。具体表现为:临时凭证失效​​:默认 Token 有效期为 15 分钟至 1 小时;​​IAM 角色限制​​:直接使用aws eks get-token生成的凭证无法持久化
第七章 Kubernetes 存储-configMap
02-08 930
ConfigMap 是用来存储配置文件Kubernetes 资源对象,配置对象存储在 Etcd 中,配置的形式可以是完整的配置文件、key/value 等形式。ConfigMap对像是一系列配置的集合,k8s会将这一集合注入到对应的Pod对像中,并为容器成功启动使用。注入的方式一般有两种,一种是挂载存储卷,一种是传递变量。ConfigMap被引用之前必须存在,属于名称空间级别,不能跨名称空间使用,内容明文显示。
k8s集群部署二:flannel网络、为node节点创建kubeconfig文件
lyzkks的博客
04-15 1万+
Overlay Network模式 覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来。 VXLAN 将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层报文头进行封装,然后在以太网上传输,到达目的地后由隧道端点解封装并将数据发送给目标地址。 Flannel 是Overlay网络的一种,也是将源数据包封装在另一种网络包里面进行路...
kubernetes】部署kube-apiserver与kubectl
weixin_45842494的博客
06-20 1110
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
kuberneteskubeconfig文件和context的使用
认知 行动 坚持
06-26 4926
1.kubeconfig文件 使用 kubeconfig 文件来组织有关集群、用户、命名空间和身份认证机制的信息。kubectl 命令行工具使用 kubeconfig 文件来查找选择集群所需的信息,并与集群的 API 服务器进行通信。 注:用于配置集群访问的文件称为 kubeconfig 文件。这是引用配置文件的通用方法。这并不意味着有一个名为 kubeconfig文件 默认情况下,kubectl 在 $HOME/.kube 目录下查找名为 config 的文件。 您可以通过设置 KUBECONFI
k8s 生成config 文件
qq_36270681的博客
02-23 3065
拷贝文件给master scp admin.pem 10.1.234.30:/opt/kubernetes/ssl/ scp admin-key.pem 10.1.234.30:/opt/kubernetes/ssl/ [root@k8s-master1 ~]# cat config.sh # 配置kubernetes集群参数 kubectl config set-cluster kubernetes \ --certificate-authority=/opt/kubernetes..
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2744
k8s如何生成一个完整的kubeconfig文件
k8s中集群配置文件config生成
chang_rj的博客
03-26 5319
本文是在已有集群的基础上进行重新配置kubelet实现的 kubectl:使用 ca.pem、admin-key.pem、admin.pem; cd k8s-cert/ vi admin-csr.json ---------- { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, ...
kubernetes 生成认证文件
zhaoyangjian724的专栏
11-02 453
kubernetes
k8s学习: kubeconfig文件详解
热门推荐
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
kubernetes集群命令kube-proxy详解
lixinkuan的博客
01-14 5372
前言 proxy和dns这2个功能非常非常的重要,但是从技术层面他们属于kubernetes的附加组件,可以有也可以没有,如果需要service的功能可以添加kubernetes proxy,如果需要dns通过名字解析服务就需要增加kubernetes dns组件。非必须的功能做成组件的形式,而不是必须安装的形式。这也说明了kubernetes的设计,尽量避免这种强依赖,首先就为集群增加prox...
Kubernetes安装之十:配置node节点之kube-proxy
weixin_33758863的博客
02-18 1278
1.创建kube证书cat > /etc/ssl/kube-proxy/kube-proxy-csr.json <<EOF { "CN": "system:kube-proxy", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST"...
windows可以用kubeconfig来使用kubectl吗
03-19
好的,用户想在Windows上配置kubeconfig文件以便使用kubectl。首先,我需要回忆相关的步骤和引用内容。根据提供的引用,特别是引用3和引用5,安装kubectl.exe是第一步,需要下载并设置环境变量。然后,配置kube...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值