在sealos搭建的k8s集群中自定义kubeconfig文件

最新推荐文章于 2023-08-11 10:42:21 发布
最新推荐文章于 2023-08-11 10:42:21 发布
阅读量442 收藏
点赞数
分类专栏: Kubernetes 文章标签: sealos kubeconfig k8s k8s证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzk9381/article/details/116979754
版权

推荐阅读

Helm3(K8S 资源对象管理工具)视频教程:https://edu.csdn.net/course/detail/32506
Helm3(K8S 资源对象管理工具)博客专栏:https://blog.csdn.net/xzk9381/category_10895812.html

本文原文链接:https://blog.csdn.net/xzk9381/article/details/116979754,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

公司目前使用 sealos 搭建了三套 k8s 集群,为了方便管理,计划将三个集群的 kubeconfig 整合到一起,然后使用 kubectl 命令切换上下文来实现管理多个集群的目的。但是由于 sealos 搭建的集群中,kubeconfig 文件的上下文完全一样,所以需要自定义一个 kubeconfig 文件。

如果想要了解如何使用一个 kubeconfig 文件切换集群,可以参考我的另一篇文章:配置kubeconfig文件实现kubectl多集群切换

我首先说一下生成一个 kubeconfig 必要的步骤:

  1. 准备 CA 配置文件 ca-config.json。sealos 将 CA 的配置信息写到了代码中,所以我们需要自己再定义一个
  2. 准备 CA 证书文件和私钥,这个可以在 /etc/kubernetes/pki 目录下找到
  3. 准备用于给 kubectl 颁发证书的配置文件 admin-csr.json,这个也需要自行创建
  4. 使用 cfssl 工具根据 CA 配置文件、CA 证书文件和 admin-csr.json 文件生成 kubectl 证书文件 admin.pem 和 admin-key.pem
  5. kubectl 命令使用 kubeconfig 中的信息去连接 apiserver,所以首先需要使用 kubectl 命令将集群的信息(IP 地址和 CA 证书)写入到 kubeconfig 文件中
  6. 接下来需要使用 kubectl 写入客户端的证书信息和连接 apiserver 时所使用的用户名信息
  7. 最后设置用于区分每个集群的上下文信息,并且对每个集群都指定一个 cluster-name

接下来规划一下三个集群所需要使用到的信息(以下信息仅作示例,实际使用时按现场需求规划):

apiserver 地址集群名称上下文名称用户名
192.168.92.21k8s-cluster-ak8s-cluster-a-contextk8s-cluster-a-admin
192.168.92.22k8s-cluster-bk8s-cluster-b-contextk8s-cluster-b-admin
192.168.92.23k8s-cluster-ck8s-cluster-c-contextk8s-cluster-c-admin

一、生成 kubectl 使用的证书文件

我们使用 k8s-cluster-a 集群来进行示例,其他集群生成 kubeconfig 时只需要替换对应的值即可。

在 /opt 目录下创建一个 ssl 目录,在其中创建一个 CA 配置文件,名称为 ca-config.json,内容如下(注意,有效期指定 100 年):

{
  "signing": {
    "default": {
      "expiry": "876000h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}

profiles 中指定一个 kubernetes 即可,也可换做其他名称。该名称在后面生成证书时使用。

再创建一个 admin-csr.json 文件,内容如下(CN 可修改为其他名称):

{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "ops"
    }
  ]
}

使用 cfssl 工具生成用于给 kubectl 使用的证书和私钥:

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt \
    -ca-key=/etc/kubernetes/pki/ca.key \
    -config=/opt/ssl/ca-config.json \
    -profile=kubernetes admin-csr.json | cfssljson -bare admin

注意这里的 ca 证书和密钥,使用 sealos 已经生成的即可。profile 中指定的是配置文件中的 kubernetes。

执行改命令后会生成三个文件,admin.csr,admin.pem 和 admin-key.pem:

root@k8s-master:/opt/ssl# ll | grep admin
-rw-r--r-- 1 root root 1009 May 17 20:28 admin.csr
-rw-r--r-- 1 root root  228 May 17 20:03 admin-csr.json
-rw------- 1 root root 1675 May 17 20:28 admin-key.pem
-rw-r--r-- 1 root root 1249 May 17 20:28 admin.pem

二、生成 kubeconfig 文件

证书生成后,接下里就开始创建 kubeconfig 文件,首先使用 kubectl 配置 apiserver 的访问地址和认证信息:

kubectl config set-cluster k8s-cluster-a \
    --certificate-authority=/etc/kubernetes/pki/ca.crt \
    --embed-certs=true \
    --server=https://192.168.92.21:6443 \
    --kubeconfig=kubectl.kubeconfig

注意这里的 set-cluster k8s-cluster-a,用于设置 kubeconfig 中的集群名称。每个集群都替换成已经规划好的名称即可。

然后设置客户端认证信息,包括客户端(也就是 kubectl)使用的证书和用户名:

kubectl config set-credentials k8s-cluster-a-admin \
    --client-certificate=/opt/ssl/admin.pem \
    --client-key=/opt/ssl/admin-key.pem \
    --embed-certs=true \
    --kubeconfig=kubectl.kubeconfig

注意这里的 set-credentials k8s-cluster-a-admin,用于设置 kubeconfig 中访问集群的用户名称。每个集群都替换成已经规划好的名称即可。

最后是设置集群的上下文参数:

kubectl config set-context k8s-cluster-a-context \
    --cluster=k8s-cluster-a \
    --user=k8s-cluster-a-admin \
    --kubeconfig=kubectl.kubeconfig

注意这里是生成一个上下文名称,然后将上下文与集群名称和用户名进行关联。

这样就会在当前目录下生成一个正确的 kubeconfig 文件,文件名称是 kubectl.kubeconfig。我们看一下内容(省略了部分证书和密钥数据信息):

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUN5akNDQWJLZ0F3SUJBZ0lCQURBTkJna3Foa2lHOXcwQkFRc0ZBREFWTVJNd0VRWURWUVFERXdwcmRXSmwKY201b
......
......
NSS2gwcVpibmNyRWVudTZadWI0RUgrc2dsUUtTemljZz09Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
    server: https://192.168.92.21:6443
  name: k8s-cluster-a
contexts:
- context:
    cluster: k8s-cluster-a
    user: k8s-cluster-a-admin
  name: k8s-cluster-a-context
current-context: ""
kind: Config
preferences: {}
users:
- name: k8s-cluster-a-admin
  user:
    client-certificate-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURiVENDQWxXZ0F3SUJBZ0lVRVRIT3JrWWw1TGhyWVgxYTE0TTF3Vm5jMjl3d0RRWUpLb1pJaHZjTkFRRUwKQlFBd
......
......
Y3JmcGNWaHhWdThhdTl6VU0wN08wS1RXTWJUUjRtMmVGeTRECkdYdUlOdysvSDRPNGpyTTE1b01ET0pFPQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb2dJQkFBS0NBUUVBd25mWjc4c2xYbU9FRGFVL0xIRDYzU0c0cnNTelJMMHZ3OHZ2U2lhNWE2dDgwOXlLC
......
......
i0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==

通过上面的内容可以看到包含了集群的证书、访问地址信息。在上下文参数中,包含了上下文名称和与其绑定的集群名称和用户名。

大家可以注意到,在 current-context: ""中的内容为空,这里主要是用于多个 kubeconfig 文件整合到一起后,通过修改这个配置项来访问不同的 k8s 集群。我们可以先将这个配置项设置为当前的上下文内容:

kubectl config use-context k8s-cluster-a-context --kubeconfig=kubectl.kubeconfig

将这个文件拷贝到当前用户家目录下的 .kube 目录内,并重命名为 config,然后使用 kubectl 命令测试是否能连接 apiserver 即可。其他集群的 kubeconfig 文件也参照前面的步骤。

三、如何在 kubeconfig 跳过认证

在 sealos 搭建的集群中使用 kubeconfig 访问 apiserver 还有一个问题,sealos 初始化 apiserver 证书时,证书中允许的 hosts 只有如下几个:

  • localhost
  • kubernetes
  • kubernetes.default
  • kubernetes.default.svc
  • apiserver.cluster.local
  • kubernetes.default.svc.cluster.local
  • Master 主机名称

所以如果将 Master 的 IP 地址配置成其他的域名,然后将域名写到 kubeconfig 文件中时,执行 kubectl 命令就会报错。例如我们配置了一个域名 k8sdev.test.com ,域名解析到 Master 主机上。并且将 kubeconfig 文件中的 server 字段修改为域名地址。那么执行 kubectl 命令时会报如下错误:

Unable to connect to the server: x509: certificate is valid for localhost, kubernetes, kubernetes.default,
kubernetes.default.svc, apiserver.cluster.local, kubernetes.default.svc.cluster.local, k8s-master1-online-yz,
not k8sdev.test.com

解决这个问题的办法有两种,一个是重新申请证书,还有一个就是跳过认证。

重新申请证书过于麻烦,所以我们选择跳过认证。将 kubeconfig 中 cluster 对应的 certificate-authority-data 这一行内容删除,然后添加一行:insecure-skip-tls-verify: true 即可忽略认证:

apiVersion: v1
clusters:
- cluster:
    insecure-skip-tls-verify: true
    server: https://k8sdev.test.com:6443
  name: k8s-dev
  ......
  ......

但是忽略认证也会带来安全隐患,所以线上环境慎用,或者严格控制文件权限

本文原文链接:https://blog.csdn.net/xzk9381/article/details/116979754,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

店伙计
关注
专栏目录
通过sealos部署K8S集群v1.25.0
沧海之巅的专栏
12-22 997
链接:https://pan.baidu.com/s/1BH8wHuotYnrk0wOj_48afA?pwd=acc4提取码:acc4三台服务器IP如下通过如下脚本修改ip地址设置DNS,会影响mirrors.aliyun.com的连接,DNS1一定四8.8.8.8,否则aliyun.com连接不通。如果通过如上脚本修改了ip,需要根据如下脚本重启网络才能生效。
Sealos搭建K8S
mr_thy的博客
03-02 482
Sealos搭建K8S
kubernetes通过自定义账户生成kubeconfig文件,实现对集群的访问
rendongxingzhe的博客
04-20 1875
一.生成账户的证书请求文件 cat > ldy-csr.json <<EOF { "CN": "ldy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "ST": "BeiJing" } ] } EOF 二.生成自定义用户证书 cfssl gence
Sealos 私有化部署完全指南
Gefangenes的博客
07-27 1033
如果你需要使用自己的域名,可以将参数修改为你的域名,例如:;如果你需要使用自己的证书,你可以使用下面的脚本(注意需要修改证书位置及 yaml_content 的 match image)生成文件,然后在时使用/bin/bash# 读取原始证书和密钥文件# 使用 base64 转换# 定义 YAML 文件内容metadata:spec:data: |data:# 创建新的 cloud-config.yaml 文件
sealos安装k8s
卷心菜投手
08-11 2880
kubeadm2、安装k8s的方式有很多3、关于sealos来安装 k8s ,也是非常建议大家去官方文档看看,,说的很非常清楚,一看就知道。
sealos 神奇功能 serverless kubernetes 之 cloud terminal
github_35614077的博客
03-07 379
何为 serverless kubernetes 顾名思义,就是不需要安装直接打开网页就可以直接使用的 kubernetes,是一个多租户共享 kubernetes 的租户模型,这样做的好处是对于用户的使用成本极低,而且无需安装 kubernetes, 且天生对多租户的隔离性做的很好。 劣势是用户没有集群级别的管理权限,比如访问节点,或者挂载主机目录,共享主机端口等,其实这也不是劣势,因为开放这些东西本身就是不安全的。 sealos 在这块做了非常多的优化,直接能做到在公网这种不可信的环境让多租户安全的共
K8s手工创建kubeconfig
小单的博客专栏
02-14 2062
4、以上配置文件证书通过字符串的方式配置在 config 文件,如果不想写具体的字符串,本地有证书文件,则可以通过。如果你的 K8s 集群是使用 RKE 创建,则对应的证书文件路径就是示例的。3、另外,如果 user 使用 token,则可以不配置。命令行连接 k8s apiserver 时需要依赖。的内容,获取文件内容的方法可以使用命令。的内容,获取文件内容的方法可以使用命令。文件的默认存放位置为。(上下文)列表,每个。,内容可以单行或者使用。,内容可以单行或者使用。
sealos部署k8s-1.23.0集群
最新发布
09-15
### 使用Sealos部署Kubernetes v1.23.0集群及实现集群管理 #### 前言 本文档旨在详细介绍如何使用Sealos工具快速部署Kubernetes v1.23.0版本集群,并实现对其的基本管理。Sealos是一款自动化部署工具,支持一键部署...
使用sealos安装k8s时的工具
11-05
搭建云原生环境时,结合PV(Persistent Volume)可以实现持久化存储,Prometheus则作为一个强大的监控系统收集k8s集群的各项指标,Grafana则作为可视化界面展示Prometheus的数据,帮助开发者监控和分析集群性能。...
二进制部署的k8s集群,手动生成kubeconfig的配置文件
06-29
二进制部署的k8s集群,手动生成kubeconfig的配置文件
搭建k8s集群实战操作】十分钟快速搭建k8s集群模式-多master多node
05-06
搭建 k8s 集群过程,我们可能会遇到一些错误。例如,当我们使用 kubectl get cs 命令时,可能会出现以下错误: controller-manager Unhealthy Get “http://127.0.0.1:10252/healthz”: dial tcp127.0.0.1:...
云原生|kubernetes|多集群管理之kubeconfig文件配置和使用(定义,使用方法,合并管理多集群
zsk_john的技术分享专用博客
11-04 5120
kubeconfig文件的使用。
sealos 离线部署 k8s 高可用集群
Johnny_Li的博客
03-30 1872
sealos简介sealos 特性与优势: 通过内核 ipvs 对 apiserver 进行负载均衡,并且带 apiserver 健康检测,并不依赖 haproxy 和 keepalived。 支持离线安装,工具与资源包(二进制程序 配置文件 镜像 yaml文件等)分离,这样不同版本替换不同离线包即可 证书延期 使用简单 支持自定义配置 内核负载,极其稳定,因为简单所以排查问题也极其简单 支持9...
浅谈sealos及使用sealos4.0部署Kubernetes(K8s)高可用集群
小男孩儿的博客
06-30 9076
sealos 是以kubernetes为内核的云操作系统发行版早期单机操作系统也是分层架构,后来才演变成 linux windows这种内核架构,云操作系统从容器诞生之日起分层架构被击穿,未来也会朝着高内聚的"云内核"架构迁移。核心能力 kubernetes是手段不是目的对于大众用户来说kubernetes并不重要,重要的是kubernetes上面跑了什么东西,这些东西才是用户最终关心的,间过程并不关心。 当然熟悉kubernetes的极客不用担心,你同样会有非常好的使用体验。化整为零,不同的应用,不同的
k8s学习: kubeconfig文件详解
Jerry00713的博客
07-11 1万+
kubeconfig的一个示例如下:该示例为2个集群 apiVersion 和 kind 标识客户端解析器的版本和模式,不应手动编辑。preferences 指定当前可选(和当前未使用)的 kubectl 首选项cluster包含k8s集群的端点数据,包括集群证书颁发机构以及完整的URL。可以使用Kubectl config set-cluster添加或修改cluster条目。 可以使用 kubectl config set-cluster 添加或修改 cluster 条目,多个集群的话直接在后
kubernetes 高可用部署工具:sealos
因上努力,果上随缘。但行好事,莫问前程。
06-07 2456
目录1. 设计原则1.1 为什么不用 ansible?1.2 为什么不用 keepalived haproxy?1.3 本地负载为什么不使用 envoy 或者 nginx?1.4 为什么要定制 kubeadm?2. 使用教程2.1 安装依赖2.2 安装2.3 增加节点2.4 使用自定义 kubeadm 配置文件2.5 版本升级2.5.1 升级过程2.5.2 升级 kubeadm2.5.3 升级控制节点2.5.4 升级其它控制节点2.5.5 升级 node2.5.6 验证2.5.7 源码编译2.5.8 卸载3
sealos3安装高可用k8s集群
识途老码
05-10 5855
快速二级制包安装k8s高可用集群
如何手动创建 k8s kubeconfig 文件以实现多环境切换
热门推荐
qianggezhishen的专栏
05-24 2万+
这篇文件简单介绍一下集群环境如何配置kubectl,以及如何制作 kubeconfig 文件,以使用 kubectl config 来实现切换多种k8s环境,官方有相应的文档,这里简要介绍一下如何手动生成这个 config 文件。 1、集群环境如何配置kubectl (有集群登录权限) 要实现 kubectl get no 这种以很少命令参数的方式获取到 k8s 集群信息,下面介绍一种...
k8skubeconfig的配置以及使用详解
墨鸦的博客
08-03 8780
k8skubeconfig的配置以及使用详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

店伙计

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值