# 創建 kubeconfig 文件 注意：請先參考 [安裝kubectl命令行工具](kubectl-installation.md)，先在 master 節點上安裝 kubectl 然后再進行下面的操作。 `kubelet`、`kube-proxy` 等 Node 機器上的進程與 Master 機器的 `kube-apiserver` 進程通信時需要認證和授權； kubernetes 1.4 開始支持由 `kube-apiserver` 為客戶端生成 TLS 證書的 TLS Bootstrapping 功能，這樣就不需要為每個客戶端生成證書了；該功能**當前僅支持為 `kubelet`** 生成證書； 因為我的master節點和node節點復用，所有在這一步其實已經安裝了kubectl。參考[安裝kubectl命令行工具](kubectl-installation.md)。 以下操作只需要在master節點上執行，生成的`*.kubeconfig`文件可以直接拷貝到node節點的`/etc/kubernetes`目錄下。 ## 創建 TLS Bootstrapping Token **Token auth file** Token可以是任意的包含128 bit的字符串，可以使用安全的隨機數發生器生成。 ``` bash export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') cat > token.csv <<EOF ${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:kubelet-bootstrap" EOF ``` > 后三行是一句，直接復制上面的腳本運行即可。 **注意：在進行后續操作前請檢查 `token.csv` 文件，確認其中的 `${BOOTSTRAP_TOKEN}` 環境變量已經被真實的值替換。** **BOOTSTRAP_TOKEN** 將被寫入到 kube-apiserver 使用的 token.csv 文件和 kubelet 使用的 `bootstrap.kubeconfig` 文件，如果后續重新生成了 BOOTSTRAP_TOKEN，則需要： 1. 更新 token.csv 文件，分發到所有機器 (master 和 node）的 /etc/kubernetes/ 目錄下，分發到node節點上非必需； 2. 重新生成 bootstrap.kubeconfig 文件，分發到所有 node 機器的 /etc/kubernetes/ 目錄下； 3. 重啟 kube-apiserver 和 kubelet 進程； 4. 重新 approve kubelet 的 csr 請求； ``` bash cp token.csv /etc/kubernetes/ ``` ## 創建 kubelet bootstrapping kubeconfig 文件 執行下面的命令時需要先安裝kubectl命令，請參考[安裝kubectl命令行工具](kubectl-installation.md)。 ``` bash cd /etc/kubernetes export KUBE_APISERVER="https://172.20.0.113:6443" # 設置集群參數 kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=${KUBE_APISERVER} \ --kubeconfig=bootstrap.kubeconfig # 設置客戶端認證參數 kubectl config set-credentials kubelet-bootstrap \ --token=${BOOTSTRAP_TOKEN} \ --kubeconfig=bootstrap.kubeconfig # 設置上下文參數 kubectl config set-context default \ --cluster=kubernetes \ --user=kubelet-bootstrap \ --kubeconfig=bootstrap.kubeconfig # 設置默認上下文 kubectl config use-context default --kubeconfig=bootstrap.kubeconfig ``` + `--embed-certs` 為 `true` 時表示將 `certificate-authority` 證書寫入到生成的 `bootstrap.kubeconfig` 文件中； + 設置客戶端認證參數時**沒有**指定秘鑰和證書，后續由 `kube-apiserver` 自動生成； ## 創建 kube-proxy kubeconfig 文件 ``` bash export KUBE_APISERVER="https://172.20.0.113:6443" # 設置集群參數 kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=${KUBE_APISERVER} \ --kubeconfig=kube-proxy.kubeconfig # 設置客戶端認證參數 kubectl config set-credentials kube-proxy \ --client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \ --client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \ --embed-certs=true \ --kubeconfig=kube-proxy.kubeconfig # 設置上下文參數 kubectl config set-context default \ --cluster=kubernetes \ --user=kube-proxy \ --kubeconfig=kube-proxy.kubeconfig # 設置默認上下文 kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig ``` + 設置集群參數和客戶端認證參數時 `--embed-certs` 都為 `true`，這會將 `certificate-authority`、`client-certificate` 和 `client-key` 指向的證書文件內容寫入到生成的 `kube-proxy.kubeconfig` 文件中； + `kube-proxy.pem` 證書中 CN 為 `system:kube-proxy`，`kube-apiserver` 預定義的 RoleBinding `cluster-admin` 將User `system:kube-proxy` 與 Role `system:node-proxier` 綁定，該 Role 授予了調用 `kube-apiserver` Proxy 相關 API 的權限； ## 分發 kubeconfig 文件 將兩個 kubeconfig 文件分發到所有 Node 機器的 `/etc/kubernetes/` 目錄 ``` bash cp bootstrap.kubeconfig kube-proxy.kubeconfig /etc/kubernetes/ ``` ## 參考 關于 kubeconfig 文件的更多信息請參考 [使用 kubeconfig 文件配置跨集群認證](../guide/authenticate-across-clusters-kubeconfig.md)。