再次强调:api-server启动时,会自东创建kubernets服务,集群名称默认kubernetes
授权kube-apiserver访问kubelet API的权限
在执行kubectl命令时,apiserver会将请求转发到kubelet的https端口。
这里定义的RBAC规则,授权apiserver使用的证书(kubernetes.pem)用户名(CN:kubernetes)访问kubelet API的权限
kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes
创建一个授权绑定,名称是kube-apiserver:kubelet-apis ,给于用户kubernetes,系统预置角色system:kubelet-api-admin,这样apiserver就具备了访问
kubelet-api的能力
权限分析:
kubectl按照.kube/config----内嵌证书属于system:masters组,访问api-server的无限API的权限.
但是api-server访问kubelet的证书用户kubernetes,目前没有访问kubelet-api的权限,需要利用api-server授权的授权API进行授权。
原文:https://www.cnblogs.com/justart/p/13198841.html