使用kubeconfig文件组织集群访问
使用kubeconfig文件来组织有关集群、用户、命名空间和身份认证机制的信息。kubectl命令行工具使用kubeconfig文件来查找选择集群所需的信息,并与集群的API服务器进行通信。
Note:用于配置集群访问的文件称为“kubeconfig文件”。这是引用配置文件的通用方法,并不意味着有一个名为kubeconfig的文件
Warning:只使用来源可靠的kubeconfig文件。使用特制的kubeconfig文件可能会导致恶意代码执行或文件暴露。如果必须使用不受信任的kubeconfig文件,请首先像检查shell脚本一样仔细检查它。
默认情况下,kubectl在$HOME/.kube目录下查找名为config的文件。你可以通过设置KUBECONFIG环境变量或者设置--kubeconfig参数来指定其他kubeconfig文件。
支持多集群、用户和身份认证机制
假设你有多个集群,并且你的用户和组件以多种方式进行身份认证。比如:
使用kubeconfig文件,你可以组织集群、用户和命名空间。你还可以定义上下文,以便在集群和命名空间之间快速轻松地切换。
上下文(Context)
通过kubeconfig文件中的context元素,使用简便的名称来对访问参数进行分组。每个context都有三个参数:cluster、namespace和user。默认情况下,kubectl命令行工具使用当前上下文中的参数与集群进行通信。
选择当前上下文
kubectl config use-context
KUBECONFIG环境变量
KUBECONFIG环境变量包含一个kubeconfig文件列表。对于Linux和Mac,列表以冒号分隔。对于Windows,列表以分号分隔。KUBECONFIG环境变量不是必要的。如果KUBECONFIG环境变量不存在,kubectl使用默认的kubeconfig文件,$HOME/.kube/config。
如果KUBECONFIG环境变量存在,kubectl使用KUBECONFIG环境变量中列举的文件合并后的有效配置。
合并kubeconfig文件
要查看配置,输入以下命令:
kubectl config view
如前所述,输出可能来自kubeconfig文件,也可能是合并多个kubeconfig文件的结果。
以下是kubectl在合并kubeconfig文件时使用的规则。
如果设置了–kubeconfig参数,则仅使用指定的文件。不进行合并。此参数只能使用一次。
否则,如果设置了KUBECONFIG环境变量,将它用作应合并的文件列表。根据以下规则合并KUBECONFIG环境变量中列出的文件:
根据此链中的第一个匹配确定要使用的上下文。
这种场景下允许空上下文。
确定集群和用户。此时,可能有也可能没有上下文。根据此链中的第一个匹配确定集群和用户,这将运行两次:一次用于用户,一次用于集群。
这种场景下用户和集群可以为空。
确定要使用的实际集群信息。此时,可能有也可能没有集群信息。基于此链构建每个集群信息;第一个匹配项会被采用:确定要使用的实际用户信息。使用与集群信息相同的规则构建用户信息,但每个用户只允许一种身份认证技术:对于仍然缺失的任何信息,使用其对应的默认值,并可能提示输入身份认证信息。 文件引用
kubeconfig文件中的文件和路径引用是相对于kubeconfig文件的位置。命令行上的文件引用是相对于当前工作目录的。在$HOME/.kube/config中,相对路径按相对路径存储,绝对路径按绝对路径存储。
代理
你可以在kubeconfig文件中设置proxy-url来为kubectl使用代理,例如:
apiVersion: v1
kind: Config
proxy-url: https://proxy.host:3128
clusters:
- cluster:
name: development
users:
- name: developer
contexts:
- context:
name: development