当前位置：首页 > news >正文

kubeconfig生成最高权限的token

news 2025/8/4 11:05:43

参考文档

1.https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/authentication/
2. https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

操作流程

生成kubernetes集群最高权限admin用户的token

admin-role.yaml

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: adminannotations:rbac.authorization.kubernetes.io/autoupdate: "true"
roleRef:kind: ClusterRolename: cluster-adminapiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccountname: adminnamespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:name: adminnamespace: kube-systemlabels:kubernetes.io/cluster-service: "true"addonmanager.kubernetes.io/mode: Reconcile

cluster-admin：允许超级用户在平台上的任何资源上执行所有操作。当在 ClusterRoleBinding 中使用时，可以授权对集群中以及所有名字空间中的全部资源进行完全控制。当在 RoleBinding 中使用时，可以授权控制角色绑定所在名字空间中的所有资源，包括名字空间本身。
执行下面的命令创建 serviceaccount 和角色绑定

kubectl apply-f admin-role.yaml

创建完成后获取secret中token的值。

# 获取admin-token的secret名字
kubectl -n kube-system get secret|grep admin-token# 获取token
kubectl describe secret admin-token-nwphb -n kube-system# token值：
eyJhbGciOiJSUzI1NiIsImtpZCI6Im5EY3NhNm02cUxhdTJpSDRUM0NMbWl3bzJjQmE1VmVWeFhhSjREMF9CRUUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb

创建kubeconfig文件

apiVersion: v1
clusters:
- cluster:server: https://172.13.18.66:6443insecure-skip-tls-verify: truename: kubernetes
contexts:
- context:cluster: kubernetesuser: adminname: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: adminuser:token: eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJhZG1pb

可以使用代理转发https://172.13.18.66:6443，以便其他机器可以通过外网进行访问操作；
开启了代理的话，记得设置上insecure-skip-tls-verify: true
如果访问失败的话
4. 检查下token是否设置正确
5. 检查/etc/kubernetes/manifests/kube-apiserver.yaml文件中，有无开启token-auth-file

查看全文

http://www.lryc.cn/news/21435.html