在sealos搭建的k8s集群中自定义kubeconfig文件

最新推荐文章于 2025-01-03 09:37:40 发布
最新推荐文章于 2025-01-03 09:37:40 发布
阅读量510 收藏
点赞数
分类专栏: Kubernetes 文章标签: sealos kubeconfig k8s k8s证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xzk9381/article/details/116979754
版权

推荐阅读

Helm3(K8S 资源对象管理工具)视频教程:https://edu.youkuaiyun.com/course/detail/32506
Helm3(K8S 资源对象管理工具)博客专栏:https://blog.youkuaiyun.com/xzk9381/category_10895812.html

本文原文链接:https://blog.youkuaiyun.com/xzk9381/article/details/116979754,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

公司目前使用 sealos 搭建了三套 k8s 集群,为了方便管理,计划将三个集群的 kubeconfig 整合到一起,然后使用 kubectl 命令切换上下文来实现管理多个集群的目的。但是由于 sealos 搭建的集群中,kubeconfig 文件的上下文完全一样,所以需要自定义一个 kubeconfig 文件。

如果想要了解如何使用一个 kubeconfig 文件切换集群,可以参考我的另一篇文章:配置kubeconfig文件实现kubectl多集群切换

我首先说一下生成一个 kubeconfig 必要的步骤:

  1. 准备 CA 配置文件 ca-config.json。sealos 将 CA 的配置信息写到了代码中,所以我们需要自己再定义一个
  2. 准备 CA 证书文件和私钥,这个可以在 /etc/kubernetes/pki 目录下找到
  3. 准备用于给 kubectl 颁发证书的配置文件 admin-csr.json,这个也需要自行创建
  4. 使用 cfssl 工具根据 CA 配置文件、CA 证书文件和 admin-csr.json 文件生成 kubectl 证书文件 admin.pem 和 admin-key.pem
  5. kubectl 命令使用 kubeconfig 中的信息去连接 apiserver,所以首先需要使用 kubectl 命令将集群的信息(IP 地址和 CA 证书)写入到 kubeconfig 文件中
  6. 接下来需要使用 kubectl 写入客户端的证书信息和连接 apiserver 时所使用的用户名信息
  7. 最后设置用于区分每个集群的上下文信息,并且对每个集群都指定一个 cluster-name

接下来规划一下三个集群所需要使用到的信息(以下信息仅作示例,实际使用时按现场需求规划):

apiserver 地址集群名称上下文名称用户名
192.168.92.21k8s-cluster-ak8s-cluster-a-contextk8s-cluster-a-admin
192.168.92.22k8s-cluster-bk8s-cluster-b-contextk8s-cluster-b-admin
192.168.92.23k8s-cluster-ck8s-cluster-c-contextk8s-cluster-c-admin

一、生成 kubectl 使用的证书文件

我们使用 k8s-cluster-a 集群来进行示例,其他集群生成 kubeconfig 时只需要替换对应的值即可。

在 /opt 目录下创建一个 ssl 目录,在其中创建一个 CA 配置文件,名称为 ca-config.json,内容如下(注意,有效期指定 100 年):

{
  "signing": {
    "default": {
      "expiry": "876000h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}

profiles 中指定一个 kubernetes 即可,也可换做其他名称。该名称在后面生成证书时使用。

再创建一个 admin-csr.json 文件,内容如下(CN 可修改为其他名称):

{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "ops"
    }
  ]
}

使用 cfssl 工具生成用于给 kubectl 使用的证书和私钥:

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt \
    -ca-key=/etc/kubernetes/pki/ca.key \
    -config=/opt/ssl/ca-config.json \
    -profile=kubernetes admin-csr.json | cfssljson -bare admin

注意这里的 ca 证书和密钥,使用 sealos 已经生成的即可。profile 中指定的是配置文件中的 kubernetes。

执行改命令后会生成三个文件,admin.csr,admin.pem 和 admin-key.pem:

root@k8s-master:/opt/ssl# ll | grep admin
-rw-r--r-- 1 root root 1009 May 17 20:28 admin.csr
-rw-r--r-- 1 root root  228 May 17 20:03 admin-csr.json
-rw------- 1 root root 1675 May 17 20:28 admin-key.pem
-rw-r--r-- 1 root root 1249 May 17 20:28 admin.pem

二、生成 kubeconfig 文件

证书生成后,接下里就开始创建 kubeconfig 文件,首先使用 kubectl 配置 apiserver 的访问地址和认证信息:

kubectl config set-cluster k8s-cluster-a \
    --certificate-authority=/etc/kubernetes/pki/ca.crt \
    --embed-certs=true \
    --server=https://192.168.92.21:6443 \
    --kubeconfig=kubectl.kubeconfig

注意这里的 set-cluster k8s-cluster-a,用于设置 kubeconfig 中的集群名称。每个集群都替换成已经规划好的名称即可。

然后设置客户端认证信息,包括客户端(也就是 kubectl)使用的证书和用户名:

kubectl config set-credentials k8s-cluster-a-admin \
    --client-certificate=/opt/ssl/admin.pem \
    --client-key=/opt/ssl/admin-key.pem \
    --embed-certs=true \
    --kubeconfig=kubectl.kubeconfig

注意这里的 set-credentials k8s-cluster-a-admin,用于设置 kubeconfig 中访问集群的用户名称。每个集群都替换成已经规划好的名称即可。

最后是设置集群的上下文参数:

kubectl config set-context k8s-cluster-a-context \
    --cluster=k8s-cluster-a \
    --user=k8s-cluster-a-admin \
    --kubeconfig=kubectl.kubeconfig

注意这里是生成一个上下文名称,然后将上下文与集群名称和用户名进行关联。

这样就会在当前目录下生成一个正确的 kubeconfig 文件,文件名称是 kubectl.kubeconfig。我们看一下内容(省略了部分证书和密钥数据信息):

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUN5akNDQWJLZ0F3SUJBZ0lCQURBTkJna3Foa2lHOXcwQkFRc0ZBREFWTVJNd0VRWURWUVFERXdwcmRXSmwKY201b
......
......
NSS2gwcVpibmNyRWVudTZadWI0RUgrc2dsUUtTemljZz09Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
    server: https://192.168.92.21:6443
  name: k8s-cluster-a
contexts:
- context:
    cluster: k8s-cluster-a
    user: k8s-cluster-a-admin
  name: k8s-cluster-a-context
current-context: ""
kind: Config
preferences: {}
users:
- name: k8s-cluster-a-admin
  user:
    client-certificate-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURiVENDQWxXZ0F3SUJBZ0lVRVRIT3JrWWw1TGhyWVgxYTE0TTF3Vm5jMjl3d0RRWUpLb1pJaHZjTkFRRUwKQlFBd
......
......
Y3JmcGNWaHhWdThhdTl6VU0wN08wS1RXTWJUUjRtMmVGeTRECkdYdUlOdysvSDRPNGpyTTE1b01ET0pFPQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb2dJQkFBS0NBUUVBd25mWjc4c2xYbU9FRGFVL0xIRDYzU0c0cnNTelJMMHZ3OHZ2U2lhNWE2dDgwOXlLC
......
......
i0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==

通过上面的内容可以看到包含了集群的证书、访问地址信息。在上下文参数中,包含了上下文名称和与其绑定的集群名称和用户名。

大家可以注意到,在 current-context: ""中的内容为空,这里主要是用于多个 kubeconfig 文件整合到一起后,通过修改这个配置项来访问不同的 k8s 集群。我们可以先将这个配置项设置为当前的上下文内容:

kubectl config use-context k8s-cluster-a-context --kubeconfig=kubectl.kubeconfig

将这个文件拷贝到当前用户家目录下的 .kube 目录内,并重命名为 config,然后使用 kubectl 命令测试是否能连接 apiserver 即可。其他集群的 kubeconfig 文件也参照前面的步骤。

三、如何在 kubeconfig 跳过认证

在 sealos 搭建的集群中使用 kubeconfig 访问 apiserver 还有一个问题,sealos 初始化 apiserver 证书时,证书中允许的 hosts 只有如下几个:

  • localhost
  • kubernetes
  • kubernetes.default
  • kubernetes.default.svc
  • apiserver.cluster.local
  • kubernetes.default.svc.cluster.local
  • Master 主机名称

所以如果将 Master 的 IP 地址配置成其他的域名,然后将域名写到 kubeconfig 文件中时,执行 kubectl 命令就会报错。例如我们配置了一个域名 k8sdev.test.com ,域名解析到 Master 主机上。并且将 kubeconfig 文件中的 server 字段修改为域名地址。那么执行 kubectl 命令时会报如下错误:

Unable to connect to the server: x509: certificate is valid for localhost, kubernetes, kubernetes.default,
kubernetes.default.svc, apiserver.cluster.local, kubernetes.default.svc.cluster.local, k8s-master1-online-yz,
not k8sdev.test.com

解决这个问题的办法有两种,一个是重新申请证书,还有一个就是跳过认证。

重新申请证书过于麻烦,所以我们选择跳过认证。将 kubeconfig 中 cluster 对应的 certificate-authority-data 这一行内容删除,然后添加一行:insecure-skip-tls-verify: true 即可忽略认证:

apiVersion: v1
clusters:
- cluster:
    insecure-skip-tls-verify: true
    server: https://k8sdev.test.com:6443
  name: k8s-dev
  ......
  ......

但是忽略认证也会带来安全隐患,所以线上环境慎用,或者严格控制文件权限

本文原文链接:https://blog.youkuaiyun.com/xzk9381/article/details/116979754,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 2105
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
sealos快速搭建k8s集群
daizikui的博客
08-30 2378
SELinux。
Sealos 私有化部署完全指南
Gefangenes的博客
07-27 1434
如果你需要使用自己的域名,可以将参数修改为你的域名,例如:;如果你需要使用自己的证书,你可以使用下面的脚本(注意需要修改证书位置及 yaml_content 中的 match image)生成文件,然后在时使用/bin/bash# 读取原始证书和密钥文件# 使用 base64 转换# 定义 YAML 文件内容metadata:spec:data: |data:# 创建新的 cloud-config.yaml 文件
sealos安装k8s
卷心菜投手
08-11 3605
kubeadm2、安装k8s的方式有很多3、关于sealos来安装 k8s ,也是非常建议大家去官方文档看看,,说的很非常清楚,一看就知道。
sealos 神奇功能 serverless kubernetes 之 cloud terminal
github_35614077的博客
03-07 484
何为 serverless kubernetes 顾名思义,就是不需要安装直接打开网页就可以直接使用的 kubernetes,是一个多租户共享 kubernetes 的租户模型,这样做的好处是对于用户的使用成本极低,而且无需安装 kubernetes, 且天生对多租户的隔离性做的很好。 劣势是用户没有集群级别的管理权限,比如访问节点,或者挂载主机目录,共享主机端口等,其实这也不是劣势,因为开放这些东西本身就是不安全的。 sealos 在这块做了非常多的优化,直接能做到在公网这种不可信的环境中让多租户安全的共
k8s 集群给用户生成 kubeconfig 文件
小新没有蜡笔
10-11 992
k8s 集群的 RBAC 里有用到用户、组的概念,但是它又不直接管理这些资源,而是通过外部身份验证机制(Authentication Mechanisms)来管理和定义的,比如证书进行签名时,将其配置为 Subject: O = system:masters, CN = kubernetes-admin。O 代表用户组,CN 是用户,这些都是通过签署证书管理的。但是新版本可以直接通过命令去创建,我用的是 1.31。
sealos部署k8s-1.23.0集群
09-15
### 使用Sealos部署Kubernetes v1.23.0集群及实现集群管理 #### 前言 本文档旨在详细介绍如何使用Sealos工具快速部署Kubernetes v1.23.0版本集群,并实现对其的基本管理。Sealos是一款自动化部署工具,支持一键部署...
sealos离线安装k8s集群镜像-part2
12-25
在标签“sealos离线安装部署k8s”中,我们可以看到Sealos工具在离线安装Kubernetes集群方面的专业性和易用性。对于企业而言,选择一个可靠的工具来搭建Kubernetes集群,不仅可以保证业务的连续性和稳定性,还可以在...
使用sealos安装k8s时的工具
11-05
搭建云原生环境时,结合PV(Persistent Volume)可以实现持久化存储,Prometheus则作为一个强大的监控系统收集k8s集群的各项指标,Grafana则作为可视化界面展示Prometheus的数据,帮助开发者监控和分析集群性能。...
云原生|kubernetes|多集群管理之kubeconfig文件配置和使用(定义,使用方法,合并管理多集群
zsk_john的技术分享专用博客
11-04 5417
kubeconfig文件的使用。
sealos 离线部署 k8s 高可用集群
Johnny_Li的博客
03-30 1994
sealos简介sealos 特性与优势: 通过内核 ipvs 对 apiserver 进行负载均衡,并且带 apiserver 健康检测,并不依赖 haproxy 和 keepalived。 支持离线安装,工具与资源包(二进制程序 配置文件 镜像 yaml文件等)分离,这样不同版本替换不同离线包即可 证书延期 使用简单 支持自定义配置 内核负载,极其稳定,因为简单所以排查问题也极其简单 支持9...
K8s手工创建kubeconfig
小单的博客专栏
02-14 2187
4、以上配置文件中的证书通过字符串的方式配置在 config 文件中,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例中的。3、另外,如果 user 中使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
浅谈sealos及使用sealos4.0部署Kubernetes(K8s)高可用集群
小男孩儿的博客
06-30 9433
sealos 是以kubernetes为内核的云操作系统发行版早期单机操作系统也是分层架构,后来才演变成 linux windows这种内核架构,云操作系统从容器诞生之日起分层架构被击穿,未来也会朝着高内聚的"云内核"架构迁移。核心能力 kubernetes是手段不是目的对于大众用户来说kubernetes并不重要,重要的是kubernetes上面跑了什么东西,这些东西才是用户最终关心的,中间过程并不关心。 当然熟悉kubernetes的极客不用担心,你同样会有非常好的使用体验。化整为零,不同的应用,不同的
利用sealos快速安装kubernetes集群
dzend的专栏
01-03 510
sealos新手入门指南,安装kubernetes
sealos4.3.5安装手册(二)追加节点
westlifeml的博客
10-17 883
sealos4.3.5安装手册 接上一篇,继续完善,添加 2个主节点和1个子节点。
k8s学习: kubeconfig文件详解
热门推荐
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
kubernetes 高可用部署工具:sealos
因上努力,果上随缘。但行好事,莫问前程。
06-07 2874
目录1. 设计原则1.1 为什么不用 ansible?1.2 为什么不用 keepalived haproxy?1.3 本地负载为什么不使用 envoy 或者 nginx?1.4 为什么要定制 kubeadm?2. 使用教程2.1 安装依赖2.2 安装2.3 增加节点2.4 使用自定义 kubeadm 配置文件2.5 版本升级2.5.1 升级过程2.5.2 升级 kubeadm2.5.3 升级控制节点2.5.4 升级其它控制节点2.5.5 升级 node2.5.6 验证2.5.7 源码编译2.5.8 卸载3
sealos3安装高可用k8s集群
教Linux的李老师
05-10 6116
快速二级制包安装k8s高可用集群
sealos搭建k8s集群
最新发布
01-21
### 使用 Sealos 部署和配置 Kubernetes (k8s) 集群 #### 下载并安装 Sealos 为了使用 Sealos 工具来部署 Kubernetes 集群,首先需要下载该工具。可以通过以下命令获取最新版本的 Sealos: ```bash wget https://github.com/labring/sealos/releases/download/v4.3.7/sealos_4.3.7_linux_amd64.tar.gz tar zxvf sealos_4.3.7_linux_amd64.tar.gz sealos && chmod +x sealos && mv sealos /usr/bin ``` 验证安装成功可以运行 `sealos version` 命令查看当前使用的 Sealos 版本[^2]。 #### 准备节点机器 确保所有参与构建集群的服务器已经准备好,并且能够互相通信。每台主机上都需要有 Docker 或者其他容器引擎(如 containerd),以及必要的网络设置完成。 #### 初始化 Master 节点 在主控节点执行初始化操作,这一步会拉取所需的镜像文件到本地缓存目录 `/root/.sealos/images/` 中: ```bash sudo sealos init --master <Master_IP> --node <Node_IP>... \ --passwd <Password_for_all_nodes> \ --version v1.25.0 # 这里指定要安装的 Kubernetes 版本号 ``` 注意替换 `<Master_IP>` 和 `<Node_IP>` 为实际 IP 地址列表;如果各节点密码不同,则需单独处理认证方式。 对于不同的 Kubernetes 版本和支持的 CRI 版本对应关系如下表所示[^3]: | K8s 版本 | Sealos 版本 | CRI 版本 | |--|--------------| | >=1.28 | >=v5.0.0 | v1 | | >=1.27 | >=v4.2.0-alpha3 | v1 | | >=1.26 | >=v4.1.4-rc3 | v1 | | >=1.25 | >=v4.1.0 | v1alpha2 | | <1.25 | >=v4.0.0 | v1alpha2 | #### 加入 Worker 节点 一旦 master 成功启动之后, 可以通过下面这条指令让 worker nodes 加入 cluster : ```bash sudo sealos join --master <Master_IP> --node <Worker_Node_IP> ``` 同样地,请根据实际情况调整参数值。 #### 完成后的检查 最后,在所有的节点都加入集群后,可以在任意一台机器上运行 `kubectl get nodes` 来确认整个集群的状态是否正常工作。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

店伙计

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值