一、再次强调:api-server启动时,会自东创建kubernets服务,集群名称默认kubernetes
授权kube-apiserver访问kubelet API的权限
在执行kubectl命令时,apiserver会将请求转发到kubelet的https端口。
这里定义的RBAC规则,授权apiserver使用的证书(kubernetes.pem)用户名(CN:kubernetes)访问kubelet API的权限
kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes
创建一个授权绑定,名称是kube-apiserver:kubelet-apis ,给于用户kubernetes,系统预置角色system:kubelet-api-admin,这样apiserver就具备了访问
kubelet-api的能力
权限分析:
kubectl按照.kube/config----内嵌证书属于system:masters组,访问api-server的无限API的权限.
但是api-server访问kubelet的证书用户kubernetes,目前没有访问kubelet-api的权限,需要利用api-server授权的授权API进行授权。
预定义的ClusterRoleBinding cluster-admin
将Group system:masters与Role cluster-admin绑定,该Role授予访问api-server的无限API的权限
二、控制管理器( 多节点部署,选举)
负责和api-server打交道,管理多个独立的控制器,每个控制器有不同的功能。
证书:"CN": "system:kube-controller-manager", O- "system:kube-controller-manager",默认内置权限
比如自东扩展....
默认控制管理器启动时,证书身份所属组,具备内置---ClusteRole system:kube-controller-manager,权限太小
启动时配置:–use-service-account-credentials=true,
main controller 会为各 controller 创建对应的 ServiceAccount XXX-controller。
内置的 ClusterRoleBinding system:controller:XXX 将赋予各 XXX-controller ServiceAccount (自东创建服务账户)
对应的 ClusterRole system:controller:XXX 权限
kubectl get clusterrole|grep controller
kubectl describe clusterrole system:controller:deployment-controller
kubectl get endpoints kube-controller-manager --namespace=kube-system -o yaml
二、kublet--负责接受api-server的调用,创建容器等操作(还提供工作节点度量信息服务)
1、需要创建bootstrape-token,----需要配置文件,初次启动,需要向api-server进行注册,由控制管理器,进行自动发放证书
export BOOTSTRAP_TOKEN=$(kubeadm token create
--description kubelet-bootstrap-token
--groups system:bootstrappers:${node_name}
--kubeconfig ~/.kube/config)
# 设置集群参数
kubectl config set-cluster kubernetes
--certificate-authority=/etc/kubernetes/cert/ca.pem
--embed-certs=true
--server=${KUBE_APISERVER}
--kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
# 设置客户端认证参数
kubectl config set-credentials kubelet-bootstrap
--token=${BOOTSTRAP_TOKEN}
--kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
# 设置上下文参数
kubectl config set-context default
--cluster=kubernetes
--user=kubelet-bootstrap
--kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
# 设置默认上下文
kubectl config use-context default --kubeconfig=kubelet-bootstrap-${node_name}.kubeconfig
分发到各个节点的
kubelet-bootstrap-${node_name}.kubeconfig ===》改变文件名字 /etc/kubernetes/kubelet-bootstrap.kubeconfig
kube-apiserver接收kubelet的bootstrap token后,将请求的user设置为system:bootstrap; group设置为system:bootstrappers,
后续将为这个group设置ClusterRoleBinding
------授权
创建user和group的CSR权限,不创建kubelet会启动失败
$ kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --group=system:bootstrappers
--配置启动
kublet需要理解dns域,域名服务--配置文件中配置
authroization.mode=Webhook:kubelet 使用 SubjectAccessReview API 查询 kube-apiserver 某 user、group 是否具有操作资源的权限(RBAC);
--自动发放证书和手动批准
参考文档--