说明
一个典型的 kubeconfig 文件如下:
apiVersion: v1 clusters: - cluster: certificate-authority-data: {BASE64 STRING} server: https://172.16.16.15:6443 name: kubernetes contexts: - context: cluster: kubernetes namespace: ingress-nginx user: kubernetes-admin name: kubernetes-admin@kubernetes current-context: kubernetes-admin@kubernetes kind: Config preferences: {} users: - name: kubernetes-admin user: client-certificate-data: {BASE64 STRING} client-key-data: {BASE64 STRING}
文件的主要部分为:clusters、contexts、users 字段
备注:
1. 这里客户端表示为 kubeclt、client-go sdk 等,服务端表示为 apiserver
2. 证书里面包含公钥,消息发送方使用证书里面的公钥对消息加密,消息接受方使用自己的私钥解密
3. 单向验证过程如下,双向验证即是指客户端和服务端同时作为消息发送方和接收方,利用对方的证书加密消息
cluser 字段
certificate-authority-data 表示服务端的 CA 证书
以 kubectl 为客户端时为例,
- 当 kubectl 发送消息给 apiserver 时,apiserver 先返回 master 节点上的 /etc/kubernetes/pki/apiserver.crt 服务端证书给 kubectl
- kubectl 校验 apiserver.crt 的正确性,会获取 apiserver.crt 中的 Issuer CA,发现 CA 的 CN 是 Kubernetes
- certificate-authority-data 证书的 CN 也是 Kubernetes,利用 certificate-authority-data 对 apiserver.crt 验证通过
- kubectl 通过 apiserver.crt 对发送给 apiserver 的消息加密发送,apiserver 收到消息通过 /etc/kubernetes/pki/apiserver.key 解密消息