kubeconfig 文件解释

最新推荐文章于 2025-04-28 16:58:04 发布
最新推荐文章于 2025-04-28 16:58:04 发布
阅读量1k 收藏 6
点赞数 21
文章标签: kubernetes 云原生 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hpuCode/article/details/137581571
版权

在这里插入图片描述

文件模版

kubeconfig文件是使用kubectl连接k8s集群的配置文件,经典的kubeconfig文件如下

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: {BASE64 STRING}
    server: https://172.16.16.15:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    namespace: ingress-nginx
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: {BASE64 STRING}
    client-key-data: {BASE64 STRING}

文件的主要部分为:clusters、contexts、users 字段

加密

先了解一下非对称加密的基础知识

  • 这里客户端表示为 kubeclt、client-go sdk 等,服务端表示为 apiserver
  • 证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名,因此签发者背书)的集合
  • 消息发送方使用证书里面的公钥对消息加密,消息接受方使用自己的私钥解密
    单向验证过程如下,双向验证即是指客户端和服务端同时作为消息发送方和接收方,利用对方的证书加密消息

在这里插入图片描述

字段解析

以 kubectl 作为客户端时为例

Cluster字段

name :集群名称
certificate-authority-data: 表示服务端的 CA 证书,base64 编码,用于验证服务端证书 apiserver.crt 的正确性:

  • 当 kubectl 发送消息给 apiserver 时,apiserver 先返回 master 节点上的 /etc/kubernetes/pki/apiserver.crt 服务端证书给 kubectl
  • kubectl 校验 apiserver.crt 的正确性,会获取 apiserver.crt 中的 Issuer CA,发现 CA 的 CN 是 Kubernetes
  • certificate-authority-data 证书的 CN 也是 Kubernetes,利用 certificate-authority-data 对 apiserver.crt 验证通过
  • kubectl 通过 apiserver.crt 对发送给 apiserver 的消息加密发送,apiserver 收到消息通过 /etc/kubernetes/pki/apiserver.key 解密消息

certificate-authority-data 字段表示的证书其实和 /etc/kubernetes/pki/ca.crt 内容都是一样的,这个证书是整个集群的 rootCA,其他证书都是由其签发,也就用它来验证有效性

当 kubectl 开启 --insecure-skip-tls-verify=true 时,表示不校验服务端证书,所以这个时候 certificate-authority-data 即使证书是错误的,也可以和集群通信

User 字段

name :用户名称

client-certificate-data: 表示客户端证书,base64 编码,会发送给 apiserver,用于加密 apiserver 发送给 kubectl 的消息

client-key-data :表示客户端私钥,用于解密 apiserver 通过 client-certificate-data 加密过的内容

整个加解密过程和上述服务端验证过程类似,各证书作用总结如下:
在这里插入图片描述

Context 字段

cluster 和 user 可以配置多个,context 用于组合 cluster 和 user,并通过 current-context 指定当前要使用的 context

原文参考

kubeconfig配置文件结构
u010674101的专栏
10-14 1351
kubeconfig文件Kubernetes 的配置文件kubectl使用它来连接和与 Kubernetes 集群交互。它通常位于路径下,包含多个上下文、集群、用户的配置信息,用于定义kubectl如何与不同的集群进行通信。kubeconfig
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 864
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理。
Kubernetes kubeconfig配置文件详细解读
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
11-23 2万+
kubeconfig配置文件 在node节点上可以执行kubectl命令吗? [root@k8s-node1 ~]# kubectl get node The connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080这个端口是k8s api(kube-apiserver非安全端口)的端口,在master上面可以执行成功其...
k8s之kubeconfig详解
最新发布
woshihlf的博客
04-28 1219
kubeconfigKubernetes 客户端(如。:在 Shell 提示符显示当前上下文。
Kubernetes kubectl config 对集群做配置
小楼一夜听春雨,深巷明朝卖杏花
10-22 1234
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
k8s学习: kubeconfig文件详解
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster中包含k8s集群的端点数据,包括集群的证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
【k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 1153
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
--authorization-kubeconfig=/data/ca/scheduler/kube-scheduler.kubeconfig
03-21
所以这个参数可能用于指定kube-scheduler进行授权检查时使用的kubeconfig文件路径。 接下来,我需要确认这个参数的具体用途。查阅Kubernetes官方文档,kube-scheduler的参数中确实有`--authorization-kubeconfig`,...
按照你说的我需要手动配置kubeconfig和admin.conf
03-26
用户可能需要将这个文件从Master节点复制到本地,或者手动创建自己的kubeconfig文件。 接下来,用户可能需要知道如何正确复制admin.conf文件。这时候需要指导他们如何从Master节点获取该文件,并确保权限设置正确。...
Kubernetes 入门&进阶实战
j简说Linux的博客
11-17 600
再打个形象的比喻,在同一个 Pod 里的几个 Docker 服务/程序,好像被部署在同一台机器上,可以通过 localhost 互相访问,并且可以共用 Pod 里的存储资源(这里是指 Docker 可以挂载 Pod 内的数据卷,数据卷的概念,后文会详细讲述,暂时理解为“需要手动 mount 的磁盘”)。到这里,相信你已经对 K8S 究竟是做什么的,有了大概认识。笔者一边写文章,一边查阅和整理 K8S 资料,过程中越发感觉 K8S 架构的完备、设计的精妙,是值得深入研究的,K8S 大受欢迎是有道理的。
kube-flannel.yml
06-30
`说明.txt` 文件可能包含关于如何使用或解释 `kube-flannel.yml` 文件的额外信息,例如部署步骤、注意事项或常见问题解答。 总结来说,`kube-flannel.yml` 是 Kubernetes 集群部署 Flannel 网络插件的关键配置文件...
K8S二进制安装文档--kubectl安装及kubeconfig文件创建.txt
07-27
K8S二进制安装文档--kubectl安装及kubeconfig文件创建.txt
Kubernetes 的配置 kubeconfig
小侠客的专栏
10-23 3190
kubernetes配置
k8s如何生成一个完整的kubeconfig文件
2401_86274572的博客
08-03 2538
k8s如何生成一个完整的kubeconfig文件
kubernetes中.kube/config文件生成
paterl的博客
10-11 783
自己生成一个kubeconfig文件
一文清晰理解 kubeconfig | 使用 kubeconfig 进行多集群管理 | context关系理解
aifeier的博客
01-02 3334
一文直接学会如何通过配置 kubeconfig 管理多集群
Kubernetes实战(十二)-使用kubeconfig文件管理多套kubernetes(k8s)集群
sre救赎之路
12-11 2305
在生产环境中可能不止有一套kubernetes(k8s)集群,面对多套集群,运维人员可以使用kubeconfig文件管理多套kubernetes(k8s)集群,使用 kubeconfig 文件,可以组织集群、用户和命名空间,还可以定义上下文,以便在集群和命名空间之间快速轻松地切换。
kuberneteskubeconfig的用法
x_i_y_u_e的专栏
03-06 887
原文地址:https://www.cnblogs.com/charlieroro/p/8489515.html kuberneteskubeconfig的用法 在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只...
k8s中kubeconfig的配置以及使用详解
墨鸦的博客
08-03 9880
k8s中kubeconfig的配置以及使用详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

五之

真实案例以及商业项目技术

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值