Kubernetes指南
Linux性能优化实战eBPF 核心技术与实战SDN指南个人博客
搜索文档…
中文
序言
基础入门
Kubernetes 简介
Kubernetes 基本概念
Kubernetes 101
Kubernetes 201
Kubernetes 集群
核心原理
核心原理
架构原理
设计理念
核心组件
资源对象
部署配置
部署指南
kubectl 安装
单机部署
特性开关
最佳配置
版本支持
集群部署
附加组件
Kubernetes-The-Hard-Way
准备部署环境
安装必要工具
创建计算资源
配置创建证书
配置生成配置
配置生成密钥
部署 Etcd 群集
部署控制节点
部署计算节点
配置 Kubectl
配置网络路由
部署 DNS 扩展
烟雾测试
删除集群
插件扩展
API 扩展
访问控制
Scheduler 扩展
网络插件
运行时插件 CRI
存储插件
网络策略
Ingress Controller
Cloud Provider 扩展
Device 插件
服务治理
服务治理
Istio
Devops
实践案例
实践概览
资源控制
集群高可用
应用高可用
调试
端口映射
端口转发
用户管理
GPU
HugePage
安全
审计
备份恢复
证书轮换
大规模集群
大数据与机器学习
Serverless
排错指南
排错概览
集群排错
Pod 排错
网络排错
PV 排错
Windows 排错
云平台排错
排错工具
社区贡献
开发指南
单元测试和集成测试
社区贡献
附录
生态圈
学习资源
国内镜像
如何贡献
参考文档
GitBook 提供支持
配置生成配置
本部分内容将会创建 kubeconfig 配置文件,它们是 Kubernetes 客户端与 API Server 认证与鉴权的保证。

客户端认证配置

本节将会创建用于 kube-proxykube-controller-managerkube-schedulerkubelet 的 kubeconfig 文件。

Kubernetes 公有 IP 地址

每一个 kubeconfig 文件都需要一个 Kubernetes API Server 的 IP 地址。为了保证高可用性,我们将该 IP 分配给 API Server 之前的外部负载均衡器。
查询 kubernetes-the-hard-way 的静态 IP 地址:
1
KUBERNETES_PUBLIC_ADDRESS=$(gcloud compute addresses describe kubernetes-the-hard-way \
2
--region $(gcloud config get-value compute/region) \
3
--format 'value(address)')
Copied!

kubelet 配置文件

为了确保 Node Authorizer 授权,Kubelet 配置文件中的客户端证书必需匹配 Node 名字。
为每个 worker 节点创建 kubeconfig 配置:
1
for instance in worker-0 worker-1 worker-2; do
2
kubectl config set-cluster kubernetes-the-hard-way \
3
--certificate-authority=ca.pem \
4
--embed-certs=true \
5
--server=https://${KUBERNETES_PUBLIC_ADDRESS}:6443 \
6
--kubeconfig=${instance}.kubeconfig
7
8
kubectl config set-credentials system:node:${instance} \
9
--client-certificate=${instance}.pem \
10
--client-key=${instance}-key.pem \
11
--embed-certs=true \
12
--kubeconfig=${instance}.kubeconfig
13
14
kubectl config set-context default \
15
--cluster=kubernetes-the-hard-way \
16
--user=system:node:${instance} \
17
--kubeconfig=${instance}.kubeconfig
18
19
kubectl config use-context default --kubeconfig=${instance}.kubeconfig
20
done
Copied!
结果将会生成以下 3 个文件:
1
worker-0.kubeconfig
2
worker-1.kubeconfig
3
worker-2.kubeconfig
Copied!

kube-proxy 配置文件

为 kube-proxy 服务生成 kubeconfig 配置文件:
1
{
2
kubectl config set-cluster kubernetes-the-hard-way \
3
--certificate-authority=ca.pem \
4
--embed-certs=true \
5
--server=https://${KUBERNETES_PUBLIC_ADDRESS}:6443 \
6
--kubeconfig=kube-proxy.kubeconfig
7
8
kubectl config set-credentials system:kube-proxy \
9
--client-certificate=kube-proxy.pem \
10
--client-key=kube-proxy-key.pem \
11
--embed-certs=true \
12
--kubeconfig=kube-proxy.kubeconfig
13
14
kubectl config set-context default \
15
--cluster=kubernetes-the-hard-way \
16
--user=system:kube-proxy \
17
--kubeconfig=kube-proxy.kubeconfig
18
19
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
20
}
Copied!

kube-controller-manager 配置文件

1
{
2
kubectl config set-cluster kubernetes-the-hard-way \
3
--certificate-authority=ca.pem \
4
--embed-certs=true \
5
--server=https://127.0.0.1:6443 \
6
--kubeconfig=kube-controller-manager.kubeconfig
7
8
kubectl config set-credentials system:kube-controller-manager \
9
--client-certificate=kube-controller-manager.pem \
10
--client-key=kube-controller-manager-key.pem \
11
--embed-certs=true \
12
--kubeconfig=kube-controller-manager.kubeconfig
13
14
kubectl config set-context default \
15
--cluster=kubernetes-the-hard-way \
16
--user=system:kube-controller-manager \
17
--kubeconfig=kube-controller-manager.kubeconfig
18
19
kubectl config use-context default --kubeconfig=kube-controller-manager.kubeconfig
20
}
Copied!

kube-scheduler 配置文件

1
{
2
kubectl config set-cluster kubernetes-the-hard-way \
3
--certificate-authority=ca.pem \
4
--embed-certs=true \
5
--server=https://127.0.0.1:6443 \
6
--kubeconfig=kube-scheduler.kubeconfig
7
8
kubectl config set-credentials system:kube-scheduler \
9
--client-certificate=kube-scheduler.pem \
10
--client-key=kube-scheduler-key.pem \
11
--embed-certs=true \
12
--kubeconfig=kube-scheduler.kubeconfig
13
14
kubectl config set-context default \
15
--cluster=kubernetes-the-hard-way \
16
--user=system:kube-scheduler \
17
--kubeconfig=kube-scheduler.kubeconfig
18
19
kubectl config use-context default --kubeconfig=kube-scheduler.kubeconfig
20
}
Copied!

Admin 配置文件

1
{
2
kubectl config set-cluster kubernetes-the-hard-way \
3
--certificate-authority=ca.pem \
4
--embed-certs=true \
5
--server=https://127.0.0.1:6443 \
6
--kubeconfig=admin.kubeconfig
7
8
kubectl config set-credentials admin \
9
--client-certificate=admin.pem \
10
--client-key=admin-key.pem \
11
--embed-certs=true \
12
--kubeconfig=admin.kubeconfig
13
14
kubectl config set-context default \
15
--cluster=kubernetes-the-hard-way \
16
--user=admin \
17
--kubeconfig=admin.kubeconfig
18
19
kubectl config use-context default --kubeconfig=admin.kubeconfig
20
}
Copied!

分发配置文件

kubeletkube-proxy kubeconfig 配置文件复制到每个 worker 节点上:
1
for instance in worker-0 worker-1 worker-2; do
2
gcloud compute scp ${instance}.kubeconfig kube-proxy.kubeconfig ${instance}:~/
3
done
Copied!
adminkube-controller-managerkube-scheduler kubeconfig 配置文件复制到每个 controller 节点上:
1
for instance in controller-0 controller-1 controller-2; do
2
gcloud compute scp admin.kubeconfig kube-controller-manager.kubeconfig kube-scheduler.kubeconfig ${instance}:~/
3
done
Copied!
下一步:配置和生成密钥
以前
配置创建证书
下一个
配置生成密钥
最近更新 1yr ago
复制链接
内容
客户端认证配置
Kubernetes 公有 IP 地址
kubelet 配置文件
kube-proxy 配置文件
kube-controller-manager 配置文件
kube-scheduler 配置文件
Admin 配置文件
分发配置文件