kubernetes集群配置serviceaccount

共计 2542 个字符，预计需要花费 7 分钟才能阅读完成。

Kubernetes API 的其它服务。Service Account 它并不是给 kubernetes 集群的用户使用的，而是给 pod 里面的进程使用的，它为 pod 提供必要的身份认证。

Kubernetes 提供了 Secret 来处理敏感信息，目前 Secret 的类型有 3 种：
Opaque(default): 任意字符串 
kubernetes.io/service-account-token: 作用于 ServiceAccount
kubernetes.io/dockercfg: 作用于 Docker registry，用户下载 docker 镜像认证使用。

本文将介绍在 kubernetes 集群中配置 serviceaccount 和 secret，可以让 kubernetes 使用私有仓库，并支持 nginx basic 认证。由于我们采用的是 rpm 包方式安装的 kubernetes 集群，默认没有 ca.crt、kubecfg.crt kubecfg.key、server.cert、server.key 这些文件，需要下载源码生成。

一、使用工具生成 key 文件

# mkdir git
# cd git/
# git clone https://github.com/kubernetes/kubernetes

科学上网方式下载 easy-rsa.tar.gz，下载地址在 make-ca-cert.sh 脚本中可以找到，将文件放到~/kube 目录下

# ls ~/kube
easy-rsa.tar.gz
# cd /root/git/kubernetes/
# sh cluster/CentOS/make-ca-cert.sh 192.168.115.5
# ls /srv/kubernetes/
ca.crt  kubecfg.crt  kubecfg.key  server.cert  server.key
# chown -R kube:kube /srv/kubernetes/*

将这些文件发送到 vm2 主机的相同目录

# chown -R kube:kube /srv/kubernetes/*
# scp -rp /srv/ root@vm2:/

二、修改配置文件

# grep -v ‘^#’ /etc/kubernetes/apiserver |grep -v ‘^$’
KUBE_API_ADDRESS=”–insecure-bind-address=192.168.115.5″
KUBE_ETCD_SERVERS=”–etcd-servers=http://192.168.115.5:2379″
KUBE_SERVICE_ADDRESSES=”–service-cluster-ip-range=10.254.0.0/16″
KUBE_ADMISSION_CONTROL=”–admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota”
KUBE_API_ARGS=”–storage-backend=etcd2 –secure-port=6443 –client-ca-file=/srv/kubernetes/ca.crt –tls-cert-file=/srv/kubernetes/server.cert –tls-private-key-file=/srv/kubernetes/server.key”# grep -v ‘^#’ /etc/kubernetes/controller-manager |grep -v ‘^$’
KUBE_CONTROLLER_MANAGER_ARGS=”–root-ca-file=/srv/kubernetes/ca.crt –service-account-private-key-file=/srv/kubernetes/server.key”

三、重启相关服务

Master:
# systemctl restart kube-apiserver
# systemctl restart kube-controller-manager
# systemctl restart kube-scheduler

Slave：
# systemctl restart kubelet
# systemctl restart kube-proxy

# kubectl get secret   
# kubectl describe secret default-token-6pddn

四、通过配置 secret，让 kubernetes 可以从私有仓库中拉取镜像

# kubectl create secret docker-registry regsecret \
–docker-server=registry.fjhb.cn  \
–docker-username=ylw \
 –docker-password=123 \
 –docker-email=ylw@fjhb.cn

在 yaml 文件 sepc 节加入 imagePullSecrets，指定使用创建好的 secret

# kubectl create -f frontend-controller.yaml

通过参考 kubernetes 的官方文档，并不能解决实际问题
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

nginx 日志依然报 401 认证错误

我们知道使用 docker pull 去私有仓库拉取镜像，需要先使用 docker login 登陆一下私有仓库，而 login 执行的操作，实际上就是在用户的家目录写入了.docker/config.json 文件。将此文件做一个软链接到 /var/lib/kubelet/.docker/ 就可以解决此问题了。当配置了软连接后就不需要在 yaml 文件中引用前面的创建的 secret 了。

# cat /root/.docker/config.json
# ln -s /root/.docker/ /var/lib/kubelet/.docker/

# kubectl create -f frontend-controller.yaml