Openshift .kubeconfig 文件和证书认证

Openshift .kubeconfig file and certificate authentication

我一直在摆弄 openshift 并尽可能多地阅读文档。然而,默认执行的身份验证(使用 admin .kubeconfig)让我感到困惑。

1)client-certificate-data 和client-key-data 是否与管理证书和密钥相同?我问这个是因为 certificate/key 文件的内容与 .kubeconfig.

中的内容不同

2).kubeconfig (AFAIK) 用于再次验证 kubernetes master。然而,在 OpenShift 中,我们是针对 OpenShift master 进行身份验证(对吗?)。为什么使用 .kubeconfig?

此致问候,感谢您的耐心等待。

OpenShift 建立在 Kubernetes 之上——它公开了 OpenShift APIs(构建、部署、图像、项目)和 Kubernetes APIs(pods、复制控制器, 服务)。连接到 OpenShift 的客户端将使用两组 API。 OpenShift 可以 运行 在现有的 Kubernetes 集群之上,在这种情况下,它将代理 API 对 Kubernetes master 的调用,然后在其之上应用安全策略(通过OpenShift 策略引擎,最终可能成为 Kube 的一部分)。

因此,客户端实际上是 Kubectl 的扩展,提供了一些额外的功能,并且它可以使用 .kubeconfig 来与 Kubectl 设置保持一致。您可以通过 kubectl 与 OpenShift 集群通信,因此反之亦然。

客户端证书数据和密钥数据是磁盘上文件的 base64 编码版本。一旦你解码它们,它们应该是相同的。我们这样做是为了让 .kubeconfig 可以作为一个单元发送,但您也可以将其设置为引用磁盘上的文件。