使用 kubeconfig 文件组织集群访问

使用 kubeconfig 文件组织集群、用户、命名空间和认证机制相关信息。kubectl 命令行工具使用 kubeconfig 文件来查找选择集群以及与集群 API 服务器通信所需的信息。

默认情况下,kubectl$HOME/.kube 目录中查找名为 config 的文件。你可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 标志来指定其他 kubeconfig 文件。

有关创建和指定 kubeconfig 文件的分步说明,请参阅配置对多个集群的访问

支持多个集群、用户和认证机制

假设你有多个集群,并且你的用户和组件以各种方式进行认证。例如:

  • 运行中的 kubelet 可能使用证书进行认证。
  • 用户可能使用令牌进行认证。
  • 管理员可能拥有一些他们提供给单独用户的证书集。

使用 kubeconfig 文件,你可以组织你的集群、用户和命名空间。你还可以定义上下文以便快速轻松地在集群和命名空间之间切换。

上下文

kubeconfig 文件中的一个 context 元素用于将访问参数分组到一个方便的名称下。每个上下文有三个参数:集群、命名空间和用户。默认情况下,kubectl 命令行工具使用当前上下文中的参数与集群通信。

选择当前上下文

kubectl config use-context

KUBECONFIG 环境变量

KUBECONFIG 环境变量包含一个 kubeconfig 文件列表。对于 Linux 和 Mac,列表使用冒号分隔。对于 Windows,列表使用分号分隔。KUBECONFIG 环境变量并非必需。如果 KUBECONFIG 环境变量不存在,kubectl 将使用默认的 kubeconfig 文件,即 $HOME/.kube/config

如果 KUBECONFIG 环境变量存在,kubectl 将使用一个通过合并 KUBECONFIG 环境变量中列出的文件所产生的有效配置。

合并 kubeconfig 文件

要查看你的配置,请输入以下命令:

kubectl config view

如前所述,输出可能来自单个 kubeconfig 文件,也可能是合并多个 kubeconfig 文件的结果。

以下是 kubectl 合并 kubeconfig 文件时使用的规则:

  1. 如果设置了 --kubeconfig 标志,则只使用指定的文件。不进行合并。只允许使用此标志一次。

    否则,如果设置了 KUBECONFIG 环境变量,则将其作为应合并的文件列表。根据以下规则合并 KUBECONFIG 环境变量中列出的文件:

    • 忽略空文件名。
    • 对于包含无法反序列化内容的文件的生成错误。
    • 首先设置特定值或 map key 的文件获胜。
    • 永远不要更改值或 map key。例如:保留第一个设置 current-context 文件的上下文。例如:如果两个文件都指定了 red-user,则只使用第一个文件的 red-user 中的值。即使第二个文件在 red-user 下有不冲突的条目,也将其丢弃。

    有关设置 KUBECONFIG 环境变量的示例,请参阅设置 KUBECONFIG 环境变量

    否则,使用默认的 kubeconfig 文件 $HOME/.kube/config,不进行合并。

  2. 根据此链中第一个匹配项确定要使用的上下文:

    1. 如果存在,则使用 --context 命令行标志。
    2. 使用合并的 kubeconfig 文件中的 current-context

    此时允许空上下文。

  3. 确定集群和用户。此时,可能有或没有上下文。根据此链中的第一个匹配项确定集群和用户,此链运行两次:一次用于用户,一次用于集群:

    1. 如果存在,则使用命令行标志:--user--cluster
    2. 如果上下文不为空,则从上下文中获取用户或集群。

    此时用户和集群可能为空。

  4. 确定要使用的实际集群信息。此时,可能有或没有集群信息。根据此链构建集群信息的每个部分;第一个匹配项获胜:

    1. 如果存在,则使用命令行标志:--server--certificate-authority--insecure-skip-tls-verify
    2. 如果合并的 kubeconfig 文件中存在任何集群信息属性,则使用它们。
    3. 如果服务器位置不存在,则失败。
  5. 确定要使用的实际用户信息。使用与集群信息相同的规则构建用户信息,但每个用户只允许一种认证技术:

    1. 如果存在,则使用命令行标志:--client-certificate--client-key--username--password--token
    2. 使用合并的 kubeconfig 文件中的 user 字段。
    3. 如果存在两种冲突的技术,则失败。
  6. 对于仍然缺失的任何信息,使用默认值,并可能提示输入认证信息。

文件引用

kubeconfig 文件中的文件和路径引用是相对于 kubeconfig 文件位置的。命令行上的文件引用是相对于当前工作目录的。在 $HOME/.kube/config 中,相对路径以相对方式存储,绝对路径以绝对方式存储。

代理

你可以在 kubeconfig 文件中使用 proxy-url 为每个集群配置 kubectl 使用代理,如下所示:

apiVersion: v1
kind: Config

clusters:
- cluster:
    proxy-url: http://proxy.example.org:3128
    server: https://k8s.example.org/k8s/clusters/c-xxyyzz
  name: development

users:
- name: developer

contexts:
- context:
  name: development

接下来

上次修改于 2022 年 4 月 13 日下午 9:05 PST:修复 kubectl 代理配置文档 (81fe9b4e91)