参考文档
1.https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/authentication/
2. https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/
操作流程
生成kubernetes集群最高权限admin用户的token
admin-role.yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: admin
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
name: admin
namespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin
namespace: kube-system
labels:
kubernetes.io/cluster-service: "true"
addonmanager.kubernetes.io/mode: Reconcile
- cluster-admin:允许超级用户在平台上的任何资源上执行所有操作。 当在 ClusterRoleBinding 中使用时,可以授权对集群中以及所有名字空间中的全部资源进行完全控制。 当在 RoleBinding 中使用时,可以授权控制角色绑定所在名字空间中的所有资源,包括名字空间本身。
- 执行下面的命令创建 serviceaccount 和角色绑定
kubectl apply-f admin-role.yaml
- 创建完成后获取secret中token的值。
# 获取admin-token的secret名字
kubectl -n kube-system get secret|grep admin-token
# 获取token
kubectl describe secret admin-token-nwphb -n kube-system
# token值:
eyJhbGciOiJSUzI1NiIsImtpZCI6Im5EY3NhNm02cUxhdTJpSDRUM0NMbWl3bzJjQmE1VmVWeFhhSjREMF9CRUUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb
创建kubeconfig文件
apiVersion: v1
clusters:
- cluster:
server: https://172.13.18.66:6443
insecure-skip-tls-verify: true
name: kubernetes
contexts:
- context:
cluster: kubernetes
user: admin
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: admin
user:
token: eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb
- 172.13.18.66:6443替换为自己kube-apiserver的服务地址;
- 可以使用代理转发https://172.13.18.66:6443,以便其他机器可以通过外网进行访问操作;
- 开启了代理的话,记得设置上insecure-skip-tls-verify: true
- 如果访问失败的话
- 检查下token是否设置正确
- 检查/etc/kubernetes/manifests/kube-apiserver.yaml文件中,有无开启token-auth-file