如何为 serviceaccount 创建 kubectl 配置文件
How to create a kubectl config file for serviceaccount
我在 Azure 上有一个 kubernetes 集群,我创建了 2 个命名空间和 2 个服务帐户,因为我有两个团队在集群上部署。
我想为每个团队为我创建的服务帐户提供他们自己的 kubeconfig 文件。
我是 Kubernetes 的新手,一直未能在 kubernetes 网站上找到明确的说明。如何为服务帐户创建 kube 配置文件?
希望有人能帮助我 :),我宁愿不给团队默认的 kube 配置文件。
谨致问候,
布拉姆
# your server name goes here
server=https://localhost:8443
# the name of the secret containing the service account token goes here
name=default-token-sg96k
ca=$(kubectl get secret/$name -o jsonpath='{.data.ca\.crt}')
token=$(kubectl get secret/$name -o jsonpath='{.data.token}' | base64 --decode)
namespace=$(kubectl get secret/$name -o jsonpath='{.data.namespace}' | base64 --decode)
echo "
apiVersion: v1
kind: Config
clusters:
- name: default-cluster
cluster:
certificate-authority-data: ${ca}
server: ${server}
contexts:
- name: default-context
context:
cluster: default-cluster
namespace: default
user: default-user
current-context: default-context
users:
- name: default-user
user:
token: ${token}
" > sa.kubeconfig
Kubectl可以初始化为使用集群账号。为此,获取集群 url、集群证书和帐户令牌。
KUBE_API_EP='URL+PORT'
KUBE_API_TOKEN='TOKEN'
KUBE_CERT='REDACTED'
echo $KUBE_CERT >deploy.crt
kubectl config set-cluster k8s --server=https://$KUBE_API_EP \
--certificate-authority=deploy.crt \
--embed-certs=true
kubectl config set-credentials gitlab-deployer --token=$KUBE_API_TOKEN
kubectl config set-context k8s --cluster k8s --user gitlab-deployer
kubectl config use-context k8s
集群文件存放在:~/.kube/config。现在可以使用以下方式访问集群:
kubectl --context=k8s get pods -n test-namespace
如果您使用的是自签名证书,请添加此标记 --insecure-skip-tls-verify。
我整理了一下。
很遗憾,我还不能发表评论,所以这是一个额外的答案:
# The script returns a kubeconfig for the service account given
# you need to have kubectl on PATH with the context set to the cluster you want to create the config for
# Cosmetics for the created config
clusterName=some-cluster
# your server address goes here get it via `kubectl cluster-info`
server=https://157.90.17.72:6443
# the Namespace and ServiceAccount name that is used for the config
namespace=kube-system
serviceAccount=developer
######################
# actual script starts
set -o errexit
secretName=$(kubectl --namespace $namespace get serviceAccount $serviceAccount -o jsonpath='{.secrets[0].name}')
ca=$(kubectl --namespace $namespace get secret/$secretName -o jsonpath='{.data.ca\.crt}')
token=$(kubectl --namespace $namespace get secret/$secretName -o jsonpath='{.data.token}' | base64 --decode)
echo "
---
apiVersion: v1
kind: Config
clusters:
- name: ${clusterName}
cluster:
certificate-authority-data: ${ca}
server: ${server}
contexts:
- name: ${serviceAccount}@${clusterName}
context:
cluster: ${clusterName}
namespace: ${namespace}
user: ${serviceAccount}
users:
- name: ${serviceAccount}
user:
token: ${token}
current-context: ${serviceAccount}@${clusterName}
"
看https://github.com/superbrothers/kubectl-view-serviceaccount-kubeconfig-plugin
此插件有助于通过
获取服务帐户配置
kubectl view-serviceaccount-kubeconfig <service_account> -n <namespace>
我在 Azure 上有一个 kubernetes 集群,我创建了 2 个命名空间和 2 个服务帐户,因为我有两个团队在集群上部署。 我想为每个团队为我创建的服务帐户提供他们自己的 kubeconfig 文件。
我是 Kubernetes 的新手,一直未能在 kubernetes 网站上找到明确的说明。如何为服务帐户创建 kube 配置文件? 希望有人能帮助我 :),我宁愿不给团队默认的 kube 配置文件。
谨致问候,
布拉姆
# your server name goes here
server=https://localhost:8443
# the name of the secret containing the service account token goes here
name=default-token-sg96k
ca=$(kubectl get secret/$name -o jsonpath='{.data.ca\.crt}')
token=$(kubectl get secret/$name -o jsonpath='{.data.token}' | base64 --decode)
namespace=$(kubectl get secret/$name -o jsonpath='{.data.namespace}' | base64 --decode)
echo "
apiVersion: v1
kind: Config
clusters:
- name: default-cluster
cluster:
certificate-authority-data: ${ca}
server: ${server}
contexts:
- name: default-context
context:
cluster: default-cluster
namespace: default
user: default-user
current-context: default-context
users:
- name: default-user
user:
token: ${token}
" > sa.kubeconfig
Kubectl可以初始化为使用集群账号。为此,获取集群 url、集群证书和帐户令牌。
KUBE_API_EP='URL+PORT'
KUBE_API_TOKEN='TOKEN'
KUBE_CERT='REDACTED'
echo $KUBE_CERT >deploy.crt
kubectl config set-cluster k8s --server=https://$KUBE_API_EP \
--certificate-authority=deploy.crt \
--embed-certs=true
kubectl config set-credentials gitlab-deployer --token=$KUBE_API_TOKEN
kubectl config set-context k8s --cluster k8s --user gitlab-deployer
kubectl config use-context k8s
集群文件存放在:~/.kube/config。现在可以使用以下方式访问集群:
kubectl --context=k8s get pods -n test-namespace
如果您使用的是自签名证书,请添加此标记 --insecure-skip-tls-verify。
我整理了一下
很遗憾,我还不能发表评论,所以这是一个额外的答案:
# The script returns a kubeconfig for the service account given
# you need to have kubectl on PATH with the context set to the cluster you want to create the config for
# Cosmetics for the created config
clusterName=some-cluster
# your server address goes here get it via `kubectl cluster-info`
server=https://157.90.17.72:6443
# the Namespace and ServiceAccount name that is used for the config
namespace=kube-system
serviceAccount=developer
######################
# actual script starts
set -o errexit
secretName=$(kubectl --namespace $namespace get serviceAccount $serviceAccount -o jsonpath='{.secrets[0].name}')
ca=$(kubectl --namespace $namespace get secret/$secretName -o jsonpath='{.data.ca\.crt}')
token=$(kubectl --namespace $namespace get secret/$secretName -o jsonpath='{.data.token}' | base64 --decode)
echo "
---
apiVersion: v1
kind: Config
clusters:
- name: ${clusterName}
cluster:
certificate-authority-data: ${ca}
server: ${server}
contexts:
- name: ${serviceAccount}@${clusterName}
context:
cluster: ${clusterName}
namespace: ${namespace}
user: ${serviceAccount}
users:
- name: ${serviceAccount}
user:
token: ${token}
current-context: ${serviceAccount}@${clusterName}
"
看https://github.com/superbrothers/kubectl-view-serviceaccount-kubeconfig-plugin
此插件有助于通过
获取服务帐户配置kubectl view-serviceaccount-kubeconfig <service_account> -n <namespace>