實現(xiàn)客戶端安全訪問集群

Kubectl客戶端工具默認使用的非安全連接方式。因此，需要對于Kubectrl進行安全性配置。

執(zhí) 行“mkdir -p /etc/Kubernetes/ca/admin” 命令，創(chuàng)建所需目錄，用來存儲配置文件。執(zhí)行“cp ~/KubePre/target/ca/admin/admin-csr.json /etc/Kubernetes/ca/admin” 命令，準備生成證書的配置文件。 執(zhí) 行“cfssl gencert-ca=/etc/Kubernetes/ca/ca.pem -ca-key=/etc/Kubernetes/ca/ca-key.pem-config=/etc/Kubernetes/ca/ca-config.json-profile=Kubernetes admincsr.json | cfssljson -bare admin”命令，生成所需的私鑰和證書文件。名稱分別為“admin-key.pem”和“admin.pem”。執(zhí)行“kubectl config set-cluster Kubernetes -certificate-authority=/etc/Kubernetes/ca/ca.pem -embed-certs=true--server=https://xxx.xxx.xxx.xxx:6443”命 令，指 定APIServer的地址和證書位置。其中的“xxx:6443”為APIServer的監(jiān)聽地址。執(zhí)行“kubectl config set-credentials admin--client-certificate=/etc/Kubernetes/ca/admin/admin.pem --embedcerts=true --clientkey=/etc/Kubernetes/ca/admin/admin-key.pem” 命令，配置客戶端的認證信息，主要指定客戶端的證書和密鑰文件位置。

執(zhí) 行“kubectl config set-context Kubernetes--cluster=Kubernetes -user=admin”命令，關聯(lián)用戶和群集。執(zhí)行“kubectl config use-context Kubernetes”命令，設置當前上下文。之后重新查看Kubectl配置文件，會發(fā)現(xiàn)其內容變得很復雜，主要是將證書的相關信息放置進來。再次使用Kubectl訪問集群，會發(fā)現(xiàn)可以順利進行操作了。執(zhí)行“kubectl get componentstatus”命令，查看集群個組件的狀態(tài)。