不使用gcloud认证gke集群

2020-07-23 多云专辑 gcp, gke, k8s 0 Comments Word Count: 457(words) Read Count: 1(minutes)

背景

正常我们都是通过gcloud切换集群，然后才能正常使用kubectl，这篇文章主要教你如何”不使用”gcloud来进行gke集群的认证。这里的不使用，意思是只要使用一次即可。

准备

首先需要一台机器，已经装好gcloud并认证，初始化可参考官方文档：点击我

开始

1.创建环境变量

替换下面命令中的GKE_CLUSTER_NAME、ZONE、PROJECT_NAME，运行结果如下图

1	GET_CMD="gcloud container clusters describe GKE_CLUSTER_NAME --zone=ZONE --project PROJECT_NAME"

png1

2.创建kubeconfig文件

命令中的my-cluster自行替换

cat > kubeconfig.yaml <<EOF
apiVersion: v1
kind: Config
current-context: my-cluster
contexts: [{name: my-cluster, context: {cluster: cluster-1, user: user-1}}]
users: [{name: user-1, user: {auth-provider: {name: gcp}}}]
clusters:
- name: cluster-1
  cluster:
    server: "https://$(eval "$GET_CMD --format='value(endpoint)'")"
    certificate-authority-data: "$(eval "$GET_CMD --format='value(masterAuth.clusterCaCertificate)'")"
EOF

3.得到文件

最终你会得到文件kubeconfig.yaml

使用

我们在上述得到了kubeconfig.yaml文件，那么我们还需要一个文件，就是gcp的iam文件，你需要创建一个serviceaccount，然后得到他的json认证文件。

最终我们需要有两个文件：

1 2	kubeconfig.yaml k8s的认证文件 serviceaccount.json gcp的iam文件

接下来就是需要创建环境变量：

1 2	export GOOGLE_APPLICATION_CREDENTIALS=serviceaccount.json export KUBECONFIG=kubeconfig.yaml

最后，直接执行kubectl命令就可以了：

[root@localhost]# kubectl get nodes
NAME                       STATUS   ROLES    AGE    VERSION
gke-eve-gke-nodepool-111   Ready    <none>   110d   v1.14.10-gke.27
gke-eve-gke-nodepool-222   Ready    <none>   110d   v1.14.10-gke.27

备注

后续你可以为你的每一个集群都创建一个kubeconfig文件和serviceaccount文件，那么越来越多的集群将如何管理呢，我之前简单写了一个shell脚本来管理，地址：kubeSwitch
注意gke集群apiserver是有白名单的，所以需要加上出口地址，不然获取不到数据。

本文链接： https://blog.itmonkey.icu/2020/07/23/get-kubeconfig-without-gcloud-in-gke/

版权声明： 本博客所有文章除特别声明外，均采用 CC BY 4.0 CN协议许可协议。转载请注明出处！

猿的野生香蕉SRE

一个在运维道路上狂飙的老司机