kubeconfig默认在~/.kube/config,主要包括certificate-authority-data根证书、client-certificate-data客户端证书、client-key-data客户端私钥、context上下文、server即kube-apiserver IP和端口。
查看kubeconfig内容
kubectl config view --raw
查看根证书内容
echo certificate-authority-data内容 | base64 -d > ca.crt
openssl x509 -in ca.crt -noout -text
查看客户端证书内容
echo client-certificate-data内容 | base64 -d > client.crt
openssl x509 -in client.crt -noout -text
查看服务端证书内容(SAN中保存了kube-apiserver IP)
openssl x509 -in client.crt -noout -text
之所以kubectl权限极高,是因为使用了group system:masters,绑定了cluster-admin角色。
用户任意,不需要用户对应的ServiceAccount。
