kubernetes集群配置serviceaccount-ylw6006

hyadijxp

　　Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的，而是给pod里面的进程使用的，它为pod提供必要的身份认证。
　　Kubernetes提供了Secret来处理敏感信息，目前Secret的类型有3种： 
　　Opaque(default): 任意字符串 
　　kubernetes.io/service-account-token: 作用于ServiceAccount
　　kubernetes.io/dockercfg: 作用于Docker registry，用户下载docker镜像认证使用。
　　本文将介绍在kubernetes集群中配置serviceaccount和secret，可以让kubernetes使用私有仓库，并支持nginx basic认证。由于我们采用的是rpm包方式安装的kubernetes集群，默认没有ca.crt、kubecfg.crt  kubecfg.key 、server.cert 、server.key这些文件，需要下载源码生成。
　　一、使用工具生成key文件
　　

# mkdir git　　
# cd git/
　　
# git clone https://github.com/kubernetes/kubernetes
　　

　　科学上网方式下载easy-rsa.tar.gz，下载地址在make-ca-cert.sh脚本中可以找到，将文件放到~/kube目录下
　　

# ls ~/kube　　
easy-rsa.tar.gz
　　
# cd /root/git/kubernetes/
　　
# sh cluster/centos/make-ca-cert.sh 192.168.115.5
　　
# ls /srv/kubernetes/
　　
ca.crt  kubecfg.crt  kubecfg.key  server.cert  server.key
　　
# chown -R kube:kube /srv/kubernetes/*
　　

　　将这些文件发送到vm2主机的相同目录
　　

# chown -R kube:kube /srv/kubernetes/*　　
# scp -rp /srv/ root@vm2:/
　　

　　二、修改配置文件
　　

# grep -v '^#' /etc/kubernetes/apiserver |grep -v '^$'　　
KUBE_API_ADDRESS="--insecure-bind-address=192.168.115.5"
　　
KUBE_ETCD_SERVERS="--etcd-servers=http://192.168.115.5:2379"
　　
KUBE_SERVICE_ADDRESSES="--service-cluster-ip-range=10.254.0.0/16"
　　
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,ServiceAccount,SecurityContextDeny,ResourceQuota"
　　
KUBE_API_ARGS="--storage-backend=etcd2 --secure-port=6443 --client-ca-file=/srv/kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls-private-key-file=/srv/kubernetes/server.key"
　　

# grep -v '^#' /etc/kubernetes/controller-manager |grep -v '^$'　　
KUBE_CONTROLLER_MANAGER_ARGS="--root-ca-file=/srv/kubernetes/ca.crt --service-account-private-key-file=/srv/kubernetes/server.key"
　　

　　三、重启相关服务
　　

Master:　　
# systemctl restart kube-apiserver
　　
# systemctl restart kube-controller-manager
　　
# systemctl restart kube-scheduler
　　

　　
Slave：
　　
# systemctl restart kubelet
　　
# systemctl restart kube-proxy
　　

　　
# kubectl get secret
　　
# kubectl describe secret default-token-6pddn
　　

　　四、通过配置secret，让kubernetes可以从私有仓库中拉取镜像
　　

# kubectl create secret docker-registry regsecret \　　
--docker-server=registry.fjhb.cn  \
　　
--docker-username=ylw \
　　--docker-password=123 \
　　--docker-email=ylw@fjhb.cn
　　

　　在yaml文件sepc节加入imagePullSecrets，指定使用创建好的secret

　　

# kubectl create -f frontend-controller.yaml　　

　　通过参考kubernetes的官方文档，并不能解决实际问题
　　https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

　　nginx日志依然报401认证错误

　　我们知道使用docker pull去私有仓库拉取镜像，需要先使用docker login登陆一下私有仓库，而login执行的操作，实际上就是在用户的家目录写入了.docker/config.json文件。将此文件做一个软链接到 /var/lib/kubelet/.docker/就可以解决此问题了。当配置了软连接后就不需要在yaml文件中引用前面的创建的secret了。
　　

# cat /root/.docker/config.json　　
# ln -s /root/.docker/ /var/lib/kubelet/.docker/
　　

　　

# kubectl create -f frontend-controller.yaml