通过kubectl连接集群

基本原理

kubectl通过kubeconfig配置文件获取集群信息，从而与Kubernetes集群的API服务器进行通信。kubeconfig文件是kubectl访问Kubernetes集群的身份凭证，包含API Server地址、用户认证凭据和等配置信息。通过这些配置信息，kubectl能够实现与Kubernetes集群的交互，并执行各种管理任务。

图1 kubectl连接集群

前提条件

• 已有一台可访问公网的客户端计算机。
• 当您使用内网访问时，请确保客户端与待访问集群在同一VPC内。
• 当您使用公网访问时，请确保待访问集群已绑定公网地址。关于集群绑定公网地址的具体步骤，请参见为API Server绑定EIP。
  

  绑定公网集群的kube-apiserver将会暴露到互联网，存在被攻击的风险，建议对kube-apiserver所在节点的EIP配置DDoS高防服务或设置安全组规则。

约束与限制

kubeconfig配置文件中包含用户的身份认证凭证。当使用该文件连接集群时，kubectl将根据文件中定义的凭证和权限访问集群。

用户拥有的权限请参见集群权限（IAM授权）与命名空间权限（Kubernetes RBAC授权）的关系。

计费说明

如果使用公网访问的方式，集群则需要绑定弹性公网IP。此时，弹性公网IP涉及一定费用，具体请参见弹性公网IP价格计算器。

步骤一：下载kubectl

使用kubectl连接集群时，您需要先在客户端中安装kubectl。您可执行kubectl version命令判断是否已安装kubectl，如果已经安装kubectl，则跳过此步骤。本文以Linux环境为例安装和配置kubectl命令行工具，详情请参考安装kubectl。

1. 登录到您的客户端计算机，执行以下命令，下载kubectl工具。其中，v1.25.0为指定的版本号，请根据集群版本进行替换。

   cd /home
   curl -LO https://dl.k8s.io/release/v1.25.0/bin/linux/amd64/kubectl

2. 执行以下命令，安装kubectl。

   chmod +x kubectl
   mv -f kubectl /usr/local/bin

3. 执行以下命令，检查kubectl是否安装成功。

   kubectl version

   回显结果如下，则说明kubectl安装成功。

   Client Version: xxx
   Kustomize Version: xxx
   Server Version: xxx

步骤二：获取kubectl配置文件（kubeconfig）

从集群中获取kubeconfig文件，用于连接集群。

1. 集群“概览”页中的“连接信息”版块，单击kubectl后的“配置”按钮，查看kubectl的连接信息。
   图2 集群连接信息
   

2. 在弹出页面中选择“内网访问”或“公网访问”，复制对应的配置文件。
   图3 下载配置文件
   
   

   • kubectl配置文件（kubeconfig）用于对接认证集群，请您妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。
   • IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。
   • 如果Linux系统里面配置了KUBECONFIG环境变量，kubectl会优先加载KUBECONFIG环境变量，而不是$home/.kube/config，使用时请注意。

步骤三：配置kubectl

将kubeconfig文件存放于客户端计算机指定路径下，kubectl工具将通过该配置文件访问集群，从而实现与CCE集群的交互。

1. 登录到您的客户端计算机。
2. 执行以下命令，创建kubeconfig.yaml文件，文件名支持自定义，用于存放2中获取的配置文件信息。

   vim kubeconfig.yaml

   在kubeconfig.yaml中粘贴2中获取的配置文件信息，并保存。

3. 执行以下命令，将kubeconfig.yaml放在“$HOME/.kube/config”路径下，kubectl将自动读取该文件信息。如果您将kubeconfig.yaml放在其他路径，则需要通过设置环境变量KUBECONFIG指定文件路径。

   cd /home
   mkdir -p $HOME/.kube
   mv -f ~/kubeconfig.yaml $HOME/.kube/config  # 请将kubeconfig.yaml修改为对应的文件名称

4. 根据使用场景，切换kubectl的访问模式。
   • VPC内网接入访问时，请执行以下命令：

     kubectl config use-context internal

   • 公网接入访问且无需开启域名双向认证时，请执行以下命令（集群需绑定公网地址）：

     kubectl config use-context external

   • 公网接入访问且需开启域名双向认证时，请执行以下命令（集群需绑定公网地址）：

     kubectl config use-context externalTLSVerify

     关于集群域名双向认证的具体说明，请参见域名双向认证。

5. 在客户端中执行以下命令，检查客户端能否通过kubectl连接集群。

   kubectl cluster-info    # 查看集群信息

   若回显结果如下，则说明客户端能够通过kubectl连接集群。

   Kubernetes control plane is running at https://xx.xx.xx.xx:5443
   CoreDNS is running at https://xx.xx.xx.xx:5443/api/v1/namespaces/kube-system/services/coredns:dns/proxy
   To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.

域名双向认证

域名双向认证一种双向身份验证机制，它确保通信双方（即客户端和服务器）都能够验证对方的身份。这种认证方式可以增强集群与客户端之间的安全性，防止未经授权的访问。

• 集群API Server绑定EIP后，使用kubectl连接集群时域名双向认证默认不开启，可通过kubectl config use-context externalTLSVerify命令切换到externalTLSVerify这个context开启使用。
• 集群绑定或解绑弹性IP、配置或更新自定义域名时，集群服务端证书将同步签入最新的集群访问地址（包括集群绑定的弹性IP、集群配置的所有自定义域名）。
• 异步同步集群通常耗时约5-10min，同步结果可以在操作记录中查看“同步证书”。
• 对于已绑定EIP的集群，如果在使用双向认证时出现认证不通过的情况（x509: certificate is valid），需要重新绑定EIP并重新下载kubeconfig.yaml。
• 早期未支持域名双向认证时，kubeconfig.yaml中包含"insecure-skip-tls-verify": true字段，如图4所示。如果需要使用双向认证，您可以重新下载kubeconfig.yaml文件并配置开启域名双向认证。
  图4 未开启域名双向认证
  

常见问题

• Error from server Forbidden

  使用kubectl在创建或查询Kubernetes资源时，显示如下内容：

  # kubectl get deploy Error from server (Forbidden): deployments.apps is forbidden: User "0c97ac3cb280f4d91fa7c0096739e1f8" cannot list resource "deployments" in API group "apps" in the namespace "default"

  原因是用户没有操作该Kubernetes资源的权限，请参见命名空间权限（Kubernetes RBAC授权）为用户授权。

• The connection to the server localhost:8080 was refused

  使用kubectl在创建或查询Kubernetes资源时，显示如下内容：

  The connection to the server localhost:8080 was refused - did you specify the right host or port?

  原因是由于该kubectl客户端未配置集群认证，请参见步骤二：获取kubectl配置文件（kubeconfig）进行配置。

相关文档

• 通过kubectl对接多个集群
• 通过配置kubeconfig文件实现集群权限精细化管理
• 如果需要手动吊销集群访问凭证，请参见吊销集群访问凭证