• 创建 kubeconfig 文件
    • 创建 TLS Bootstrapping Token
    • 创建 kubelet bootstrapping kubeconfig 文件
    • 创建 kube-proxy kubeconfig 文件
    • 分发 kubeconfig 文件
    • 参考

    创建 kubeconfig 文件

    注意:请先参考 安装kubectl命令行工具,先在 master 节点上安装 kubectl 然后再进行下面的操作。

    kubeletkube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权;

    kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不需要为每个客户端生成证书了;该功能当前仅支持为 kubelet 生成证书;

    因为我的master节点和node节点复用,所有在这一步其实已经安装了kubectl。参考安装kubectl命令行工具。

    以下操作只需要在master节点上执行,生成的*.kubeconfig文件可以直接拷贝到node节点的/etc/kubernetes目录下。

    创建 TLS Bootstrapping Token

    Token auth file

    Token可以是任意的包涵128 bit的字符串,可以使用安全的随机数发生器生成。

    1. export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ')
    2. cat > token.csv <<EOF
    3. ${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap"
    4. EOF

    后三行是一句,直接复制上面的脚本运行即可。

    注意:在进行后续操作前请检查 token.csv 文件,确认其中的 ${BOOTSTRAP_TOKEN} 环境变量已经被真实的值替换。

    BOOTSTRAP_TOKEN 将被写入到 kube-apiserver 使用的 token.csv 文件和 kubelet 使用的 bootstrap.kubeconfig 文件,如果后续重新生成了 BOOTSTRAP_TOKEN,则需要:

    1. 更新 token.csv 文件,分发到所有机器 (master 和 node)的 /etc/kubernetes/ 目录下,分发到node节点上非必需;
    2. 重新生成 bootstrap.kubeconfig 文件,分发到所有 node 机器的 /etc/kubernetes/ 目录下;
    3. 重启 kube-apiserver 和 kubelet 进程;
    4. 重新 approve kubelet 的 csr 请求;
    1. cp token.csv /etc/kubernetes/

    创建 kubelet bootstrapping kubeconfig 文件

    执行下面的命令时需要先安装kubectl命令,请参考安装kubectl命令行工具。

    1. cd /etc/kubernetes
    2. export KUBE_APISERVER="https://172.20.0.113:6443"
    3. # 设置集群参数
    4. kubectl config set-cluster kubernetes \
    5. --certificate-authority=/etc/kubernetes/ssl/ca.pem \
    6. --embed-certs=true \
    7. --server=${KUBE_APISERVER} \
    8. --kubeconfig=bootstrap.kubeconfig
    9. # 设置客户端认证参数
    10. kubectl config set-credentials kubelet-bootstrap \
    11. --token=${BOOTSTRAP_TOKEN} \
    12. --kubeconfig=bootstrap.kubeconfig
    13. # 设置上下文参数
    14. kubectl config set-context default \
    15. --cluster=kubernetes \
    16. --user=kubelet-bootstrap \
    17. --kubeconfig=bootstrap.kubeconfig
    18. # 设置默认上下文
    19. kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
    • --embed-certstrue 时表示将 certificate-authority 证书写入到生成的 bootstrap.kubeconfig 文件中;
    • 设置客户端认证参数时没有指定秘钥和证书,后续由 kube-apiserver 自动生成;

    创建 kube-proxy kubeconfig 文件

    1. export KUBE_APISERVER="https://172.20.0.113:6443"
    2. # 设置集群参数
    3. kubectl config set-cluster kubernetes \
    4. --certificate-authority=/etc/kubernetes/ssl/ca.pem \
    5. --embed-certs=true \
    6. --server=${KUBE_APISERVER} \
    7. --kubeconfig=kube-proxy.kubeconfig
    8. # 设置客户端认证参数
    9. kubectl config set-credentials kube-proxy \
    10. --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
    11. --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
    12. --embed-certs=true \
    13. --kubeconfig=kube-proxy.kubeconfig
    14. # 设置上下文参数
    15. kubectl config set-context default \
    16. --cluster=kubernetes \
    17. --user=kube-proxy \
    18. --kubeconfig=kube-proxy.kubeconfig
    19. # 设置默认上下文
    20. kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
    • 设置集群参数和客户端认证参数时 --embed-certs 都为 true,这会将 certificate-authorityclient-certificateclient-key 指向的证书文件内容写入到生成的 kube-proxy.kubeconfig 文件中;
    • kube-proxy.pem 证书中 CN 为 system:kube-proxykube-apiserver 预定义的 RoleBinding cluster-admin 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;

    分发 kubeconfig 文件

    将两个 kubeconfig 文件分发到所有 Node 机器的 /etc/kubernetes/ 目录

    1. cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/

    参考

    关于 kubeconfig 文件的更多信息请参考 使用 kubeconfig 文件配置跨集群认证。