我正在尝试从我的 CI 系统中调用 kubectl。我希望使用谷歌云服务帐户进行身份验证。我有一个秘密管理系统,可以将秘密注入我的 CI 系统。
但是,我的 CI 系统没有安装 gcloud,我不想安装它。它只包含 kubectl。有什么方法可以直接将包含 gcloud 服务帐户(不是 kubernetes 服务帐户)的 credentials.json 文件与 kubectl 一起使用?
【问题讨论】:
标签: kubernetes kubectl google-kubernetes-engine
跳过 gcloud CLI 的最简单方法可能是使用 --token 选项。您可以通过创建服务帐户并将其绑定到 ClusterRole or Role 和 ClusterRoleBinding or RoleBinding 来获取 RBAC 令牌。
然后从命令行:
$ kubectl --token <token-from-your-service-account> get pods
您仍然需要在您的~/.kube/config 中添加一个context:
- context:
cluster: kubernetes
name: kubernetes-token
否则,您将不得不使用:
$ kubectl --insecure-skip-tls-verify --token <token-from-your-service-account> -s https://<address-of-your-kube-api-server>:6443 get pods
请注意,如果您不希望令牌显示在日志中,您可以执行以下操作:
$ kubectl --token $(cat /path/to/a/file/where/the/token/is/stored) get pods
另外,请注意,在 kubectl 进程的整个生命周期内,这不会阻止您在您的盒子上运行 ps -Af 并从那里获取令牌(轮换令牌是个好主意)
编辑:
您可以使用--token-auth-file=/path/to/a/file/where/the/token/is/stored 和kubectl 来避免通过$(cat /path/to/a/file/where/the/token/is/stored) 传递它
【讨论】:
kubectl describe sa然后获取与之关联的令牌名称,然后kubectl describe secret <token-name>