背景
正常我们都是通过gcloud切换集群,然后才能正常使用kubectl,这篇文章主要教你如何”不使用”gcloud来进行gke集群的认证。这里的不使用,意思是只要使用一次即可。
准备
首先需要一台机器,已经装好gcloud并认证,初始化可参考官方文档:点击我
开始
1.创建环境变量
替换下面命令中的GKE_CLUSTER_NAME
、ZONE
、PROJECT_NAME
,运行结果如下图
GET_CMD="gcloud container clusters describe GKE_CLUSTER_NAME --zone=ZONE --project PROJECT_NAME"
2.创建kubeconfig文件
命令中的my-cluster自行替换
cat > kubeconfig.yaml <<EOF
apiVersion: v1
kind: Config
current-context: my-cluster
contexts: [{name: my-cluster, context: {cluster: cluster-1, user: user-1}}]
users: [{name: user-1, user: {auth-provider: {name: gcp}}}]
clusters:
- name: cluster-1
cluster:
server: "https://$(eval "$GET_CMD --format='value(endpoint)'")"
certificate-authority-data: "$(eval "$GET_CMD --format='value(masterAuth.clusterCaCertificate)'")"
EOF
3.得到文件
最终你会得到文件kubeconfig.yaml
使用
我们在上述得到了kubeconfig.yaml文件,那么我们还需要一个文件,就是gcp的iam文件,你需要创建一个serviceaccount,然后得到他的json认证文件。
最终我们需要有两个文件:
kubeconfig.yaml k8s的认证文件
serviceaccount.json gcp的iam文件
接下来就是需要创建环境变量:
export GOOGLE_APPLICATION_CREDENTIALS=serviceaccount.json
export KUBECONFIG=kubeconfig.yaml
最后,直接执行kubectl命令就可以了:
kubectl get nodes
NAME STATUS ROLES AGE VERSION
gke-eve-gke-nodepool-111 Ready <none> 110d v1.14.10-gke.27
gke-eve-gke-nodepool-222 Ready <none> 110d v1.14.10-gke.27
备注
- 后续你可以为你的每一个集群都创建一个kubeconfig文件和serviceaccount文件,那么越来越多的集群将如何管理呢,我之前简单写了一个shell脚本来管理,地址:kubeSwitch
- 注意gke集群apiserver是有白名单的,所以需要加上出口地址,不然获取不到数据。