我使用 kops 设置了我的 Kubernetes 集群,并且是从本地机器上完成的。所以我的.kube目录存储在我的本地机器上,但我设置kops了状态存储在s3.
我现在正在设置我的 CI 服务器,我想kubectl从那个盒子运行我的命令。如何将现有状态导入该服务器?
问问题
7861 次
2 回答
18
要运行kubectl命令,您将需要集群的 apiServer URL 和相关凭据进行身份验证。这些数据按照惯例存储在~/.kube/config文件中。您也可以通过kubectl config view命令查看。
为了kubectl在 CI 服务器上运行,您需要确保该~/.kube/config文件包含kubectl客户端所需的所有信息。
使用 kops,一个简单的天真的解决方案是:
1) 在你的 CI 服务器上安装 kops、kubectl
2) 在您的 CI 服务器上配置 AWS 访问凭证(通过 IAM 角色或简单的环境变量),确保它可以访问您的 s3 状态存储路径
3) 为 kops 设置 env var 以访问您的集群:
export NAME=${YOUR_CLUSTER_NAME}
export KOPS_STATE_STORE=s3://${YOUR_CLUSTER_KOPS_STATE_STORE}
4) 使用 kops export 命令获取运行 kubectl 所需的 kubecfg
kops export kubecfg ${YOUR_CLUSTER_NAME}
见https://github.com/kubernetes/kops/blob/master/docs/cli/kops_export.md
现在~/.kube/configCI 服务器上的文件应该包含kubectl访问集群所需的所有信息。
请注意,这将使用 CI 服务器上的默认管理员帐户。为了实现更安全的 CI/CD 环境,您应该创建一个绑定到所需权限范围(例如命名空间或类型或资源)的服务帐户,并将其凭据放在您的 CI 服务器计算机上。
于 2018-01-03T23:55:41.600 回答
0
.kube/config几乎不是“状态”,它只是一个客户端配置,所以可以只获取它的内容(或者如果你有更多的本地上下文,它的一部分)并在另一台机器上使用。除非您想为 CI 创建一个专用用户(密钥/证书),在这种情况下,您需要创建一个单独的凭据,并且如果您使用密钥/证书,它们需要用于不同的证书“主题”,因此用户可以被识别为不同的用户
于 2018-01-03T22:11:08.103 回答