oke(k8s)多集群集中控制管理kubeconfig文件的生成 ·『云原生品鉴与布道』·

已于 2024-03-20 23:15:47 修改
阅读量428 收藏 10
点赞数 3
文章标签: kubernetes 云原生
于 2024-03-20 23:04:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41656957/article/details/136890976
版权

中心思想,用serviceaccoun权限代理useraccount权限来管理多集群。

## 在各集群生成各自kubeconfig文件

1、建立管理账号,绑定集群管理角色

```
# cat SC-rbac-oke-admin.yaml 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: oke-admin
  namespace: kube-system
---
apiVersion: v1
kind: Secret
metadata:
  name: secret-sa-oke-admin
  namespace: kube-system
  annotations:
    kubernetes.io/service-account.name: "oke-admin"   # 这里填写serviceAccountName
type: kubernetes.io/service-account-token
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: oke-admin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: oke-admin
  namespace: kube-system
```

2、获取oke-admin的token信息:

export TOKEN=$(kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep oke-admin | awk '{print $1}') | grep token: | awk '{print $2}')

3、获取OKE集群的server信息:

export SERVER=$(kubectl config view --flatten --minify | grep server | awk '{print $2}')

4、获取OKE集群的certificate-authority-data信息

export CERTIFICATE_AUTHORITY_DATA=$(kubectl config view --flatten --minify | grep certificate-authority-data | awk '{print $2}')

5、创建kubeconfig文件

cat > kubeconfig <<EOF
apiVersion: v1
kind: Config
users:
- name: oke-admin
  user:
    token: $TOKEN
clusters:
- cluster:
    certificate-authority-data: $CERTIFICATE_AUTHORITY_DATA
    server: $SERVER
  name: oke-cluster
contexts:
- context:
    cluster: oke-cluster
    user: oke-admin
  name: oke-admin@oke-cluster
current-context: oke-admin@oke-cluster
EOF

6、为避免名称一致,改成能识别的名称

mv kubeconfig kubeconfig-xxxx

## 修改各文件{context,cluster,user}name ,确保被识别元素唯一性

1、通过命令修改context名称

# kubectl config rename-context oke-admin@oke-cluster xinjiapo --kubeconfig=./kubeconfig-Singapore
# kubectl config rename-context oke-admin@oke-cluster fenghuangcheng --kubeconfig=./kubeconfig-fenghuangcheng
# kubectl config rename-context oke-admin@oke-cluster bali --kubeconfig=./kubeconfig-bali
# kubectl config rename-context oke-admin@oke-cluster xini --kubeconfig=./kubeconfig-xini

2、手动编辑修改修改各个kubecofig文件中的cluster/name 和users/name,使不一致。(修改字段举例如下:)

```
巴黎区别于悉尼:
- cluster:
  name:oke-cluster-bali
- context:
    cluster: oke-cluster-bali
    user: oke-admin-bali
users:
- name: oke-admin-bali
-----------------------------------------------------------
- cluster:
  name:oke-cluster-xini
- context:
    cluster: oke-cluster-xini
    user: oke-admin-xini
users:
- name: oke-admin-xini
```

 ## 合并各个kubeconfig

设置KUBECONFIG环境变量(把要合并的kubeconfig文件都列出)

# export KUBECONFIG=./kubeconfig-bali:./kubeconfig-fenghuangcheng:./kubeconfig-xini:./kubeconfig-xinjiapo

合并为一个

# kubectl config view --flatten > all-in-one-kubeconfig.yaml

## 用新生成的文件测试,连接各个k8s集群

# kubectl --context=xinjiapo --kubeconfig=all-in-one-kubeconfig.yaml get pod -o wide -A
# kubectl --context=bali --kubeconfig=all-in-one-kubeconfig.yaml get pod -o wide -A
# kubectl --context=fenghuangcheng --kubeconfig=all-in-one-kubeconfig.yaml get pod -o wide -A
# kubectl --context=xini --kubeconfig=all-in-one-kubeconfig.yaml get pod -o wide -A

## 替换默认的config文件

把生成的all-in-one-kubeconfig.yaml 替换原来的$HOME/.kube/config , 即可方便地在一台机器上控制所有k8s集群,控制权限受制于第一步创建ServiceAccount时给予的rbac,可以灵活控制,举例

# kubectl --context=bali get pod -o wide -A

### 其他快捷工具还有:

kubecm(https://cloud.tencent.com/developer/article/1649637)

kubectx,它可以比 kubectl 更快地在上下文(集群)之间切换,但还是依赖于 config 的合并。

https://github.com/ahmetb/kubectx

也可以使用国人开源的 ki命令行工具,不用合并 config,直接使用ki -s即可快速完成切换。

GitHub - ywgx/ki: Manage multiple kubeconfigs easily

== 最后给出我整理的命令参考 ==

1、备份原config文件
cp $HOME/.kube/config $HOME/.kube/config-backup

2、设置KUBECONFIG环境变量(把要合并的kubeconfig文件都列出)
export KUBECONFIG=$HOME/.kube/config:/path/cluster1:/path/cluster2

注意:
不同kubeconfig文件,context中的cluster和user的名称是不能相同的,即,cluster/name 和users/name 在不同的kubeconfig文件中不能一样,否则,合并的时候只留一个。
- cluster:中name: ==  - context中cluster:    各个kubeconfig文件中的不能一样
users:中 - name:  ==  - context中user:
  
3、将所有 kubeconfig 文件合并为一个
kubectl config view --flatten > all-in-one-kubeconfig.yaml

4、验证后,改名为默认名称
mv all-in-one-kubeconfig.yaml $HOME/.kube/config

5、使用,按照kubeconfig中context名称来切换环境操作
kubectl config use-contexts $context名称

6、修改context名称,(有时原来定义的context name不好记忆,可以修改)
  注意:修改后kubeconfig中内容并不会改变,可以备份后手动修改。
kubectl config rename-context old-context-name new-context-name --kubeconfig=/path/to/kubeconfig

7、执行kubectl指定context。
kubectl --context=spartan-eks get pod
kubectl --context=DDC-devops get pod

旷远野壮 . 云卷云舒 『 耿晓芳 』
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
terraform-kubernetes-multi-cloud:在多个公共云平台(Aliyun,AWS,Azure,DO,GCP,OCI)上创建Kubernetes集群的Terraform
01-30
terraform-kubernetes-multi-cloud:在多个公共云平台(Aliyun,AWS,Azure,DO,GCP,OCI)上创建Kubernetes集群的Terraform
k8s】创建kubeconfig文件
weixin_45066823的博客
01-19 593
如果是用kubeadm创建的集群,使用以下命令,创建一个用户名为test-viewer 的,有效期为一年的,apiserver地址是https://k8sapi:6443的kubeconfig 文件。使用以下脚本可以创建一个只对某个命令空间可以执行命令的kubeconfig文件,具体所需权限可以自己调整yaml文件内容。
K8s手工创建kubeconfig
小单的博客专栏
02-14 1933
4、以上配置文件的证书通过字符串的方式配置在 config 文件,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例的。3、另外,如果 user 使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
k8s通过系统配置文件kubeconfig文件实现权限的精细化分配
planck
08-11 800
定义的用户名称是test,当然,用户名称可以随意定义。切换上下文,其实这一步就是将ca证书和token关联起来并写在了这个新定义的kubeconfig文件内。k8s的apiserver地址为:https://xxx:6443。cfssljson 安装。
kubernetes学习:5.创建 kubeconfig 文件
linux_player_c(系统&开发)
04-07 4288
创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权,所以需要生成相关的配置信息。在master节点上创建相关kubeconfig文件,然后将文件拷贝到node节点上。 kubernetes 自1.4引入了一个用于从集群级证书颁发机构(CA)请求证书的API。这个a...
二进制部署的k8s集群,手动生成kubeconfig的配置文件
qq_34953582的博客
06-20 907
二进制部署的k8s集群,手动生成kubeconfig的配置文件
k8s集群切换:使用kubeconfig文件管理多套kubernetes(k8s)集群
Vic的博客
10-28 2662
在生产环境可能不止有一套kubernetes(k8s)集群,我们可以使用kubeconfig文件管理多套kubernetes(k8s)集群,使用 kubeconfig 文件,你可以组织集群、用户和命名空间。你还可以定义上下文,以便在集群和命名空间之间快速轻松地切换。关于Kubernetes(k8s)集群的安装部署,可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园。
【多用户】k8s多用户配置 kubeconfig
叮当猫的喵i
09-29 1274
以实际环境的 kubeconfig 为例进行分析,主要包含以下几部分信息 三大部分 clusters 用于集群认证 Server 字段: 存储集群的地址 证书路径()或证书内容() 可以有多个 cluster 集群 users 用于用户认证 存储用户的证书、密钥(两种形式,路径或内容) 证书形式client-certificate: /etc/kubernetes/ssl/cs_client.crtclient-key: /etc/kubernetes/ss
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 1673
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
kubeconfig的用法及生成配置文件
热门推荐
菲宇运维
09-20 3万+
kubectl默认会从$HOME/.kube目录下查找文件名为 config 的文件,也能通过设置环境变量 KUBECONFIG 或者通过设置去指定其它 kubeconfig 文件kubeconfig就是为访问集群所作的配置。 在开启了 TLS 的集群,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 命...
oke
02-18
oke
terraform-oci-oke:用于Oracle Cloud Infrastructure的Terraform OKE模块安装程序提供了Terraform模块,该模块为Oracle Container Engine提供了必要的资源
02-04
terraform-oci-oke:用于Oracle Cloud Infrastructure的Terraform OKE模块安装程序提供了Terraform模块,该模块为Oracle Container Engine提供了必要的资源
CKA备考实验 | 创建kubeconfig文件
COCO_gsta的博客
09-27 186
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》要创建kubeconfig文件的话,需要一个私钥及集群CA授权颁发的证书。如同我们要到公安局(权威机构)去申请办理身份证,公安局审核之后给我们颁发身份证,这个身份证可以作为证明身份的有效证件,而不能自己随便印一张名片作为有效证件。同理,我们不能直接用私钥生成公钥,而必须是用私钥生成证书请求文件(申请书),然后根据证书请求文件向CA(权威机构)申请证书(身份证),CA审核通过之后会颁发证书。下面开始创建整个过程。
容器虚拟机 资源 容器自动化构建 动手写docker OCI开放容器标准 云原生技术 k8s
万有文的博客
05-03 528
容器和虚拟机都是用于资源隔离和管理的技术,它们在资源管理和使用上有所不同。虚拟机是一种基于软件的模拟技术,可以使得一台物理计算机同时运行多个操作系统和应用程序。虚拟机技术具有资源隔离、灵活性和迁移能力等特点。通过虚拟机,可以实现物理资源的动态分配和高效利用,同时也方便进行系统维护和资源调度。容器技术则是一种基于操作系统能力的隔离技术,它通过一组受到资源限制的技术来创建独立的运行环境。与虚拟机相比,容器更加轻量级,启动速度更快,并且资源消耗更低。
创建用户认证授权的 kubeconfig 文件
fushan2012的博客
08-17 922
创建kubeconfig文件
如何手动创建 k8s kubeconfig 文件以实现多环境切换
qianggezhishen的专栏
05-24 2万+
这篇文件简单介绍一下集群环境如何配置kubectl,以及如何制作 kubeconfig 文件,以使用 kubectl config 来实现切换多种k8s环境,官方有相应的文档,这里简要介绍一下如何手动生成这个 config 文件。 1、集群环境如何配置kubectl (有集群登录权限) 要实现 kubectl get no 这种以很少命令参数的方式获取到 k8s 集群信息,下面介绍一种...
K8s之配置文件kubeconfig生成
weixin_34409741的博客
11-13 5961
在开启了 TLS 的集群,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件...
k8s DaemonSet
最新发布
2401_82869454的博客
05-08 179
DaemonSet 将 pod 部署到集群的所有节点上,也可以通过 pod 模板的 nodeSelector 属性指定的部署到特定节点上。DaemonSet 是k8s节点上的守护进程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旷远野壮 . 云卷云舒 『 耿晓芳 』

既然选择了远方便只顾风雨兼程

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值