我一直在搞乱 openshift 并尽可能多地阅读文档。然而,默认执行的身份验证(使用 admin .kubeconfig)让我感到困惑。
1) client-certificate-data 和 client-key-data 是否与管理员证书和密钥相同?我问这个是因为证书/密钥文件的内容与 .kubeconfig 中的内容不同。
2).kubeconfig (AFAIK) 用于对 kubernetes master 进行身份验证。然而,在 OpenShift 中,我们是针对 OpenShift master 进行身份验证的(对吗?)。为什么使用 .kubeconfig?
亲切的问候,并感谢您的耐心等待。
OpenShift 构建在 Kubernetes 之上——它公开了 OpenShift API(构建、部署、映像、项目)和 Kubernetes API(pod、复制控制器、服务)。连接到 OpenShift 的客户端将使用两组 API。OpenShift可以在现有的 Kubernetes 集群上运行,在这种情况下,它将代理 API 调用到 Kubernetes 主服务器,然后在顶部应用安全策略(通过可能最终成为 Kube 一部分的 OpenShift 策略引擎)。
因此,客户端实际上是 Kubectl 的扩展,提供了一些额外的功能,它可以使用 .kubeconfig 与 Kubectl 设置保持一致。您可以通过 kubectl 与 OpenShift 集群通信,反之亦然。
client-certificate-data 和 key-data 是磁盘上文件的 base64 编码版本。一旦你解码它们,它们应该是相同的。我们这样做是为了让 .kubeconfig 可以作为一个单元发布,但您也可以将其设置为引用磁盘上的文件。