对于任何示例,client-go 使用 kubeconfig 文件连接到 kubernetes 集群,但我不想这样做。我已经创建了一个服务帐户,现在我有了一个 ServiceAccount Token,如何在 kubernetes 集群外部使用此令牌连接到 kubernetes 集群?
package main
import (
"flag"
"k8s.io/client-go/tools/clientcmd"
"log"
"k8s.io/client-go/kubernetes"
metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
"fmt"
)
var clientset *kubernetes.Clientset
func main() {
k8sconfig := flag.String("k8sconfig","./k8sconfig","kubernetes config file path")
flag.Parse()
config , err := clientcmd.BuildConfigFromFlags("",*k8sconfig)
if err != nil {
log.Println(err)
}
clientset , err = kubernetes.NewForConfig(config)
if err != nil {
log.Fatalln(err)
} else {
fmt.Println("connect k8s success")
}
pods,err := clientset.CoreV1().Pods("").List(metav1.ListOptions{})
if err != nil {
log.Println(err.Error())
}
}
client-go 已经具有内置身份验证:集群内身份验证(从具有 ServiceAccount 的 Pod 使用)和集群外身份验证(从集群外部使用,例如用于本地开发)
client-go 提供了两者的示例:
集群内的示例非常短:
// creates the in-cluster config
config, err := rest.InClusterConfig()
if err != nil {
panic(err.Error())
}
// creates the clientset
clientset, err := kubernetes.NewForConfig(config)
if err != nil {
panic(err.Error())
}
您需要导入
"k8s.io/client-go/rest"
除了服务帐户令牌之外,您的客户端还需要集群的证书颁发机构数据。您可以在 kubeconfig 文件中找到它(通常为
~/.kube/config
)——此证书颁发机构数据不是秘密,因此您可以像任何其他配置一样对待它。此外,如果您的集群 API 位于专用网络中,您可能需要代理到它(即,您的 kubeconfig 集群条目包含 proxy-url
)。
clientset, err := kubernetes.NewForConfig(&rest.Config{
// one way to get a token is `kubectl create token <service-account>`
BearerToken: os.Getenv("TOKEN"),
// the address for the Kubernetes control plane, e.g., `https://10.0.0.1`.
// this corresponds to the `server` field in your kubeconfig's cluster
// entry.
Host: os.Getenv("HOST"),
// you can get this from kubeconfig's cluster certificate-authority-data
// field, but be sure to base64 decode it first (after base64 decoding it
// should look like `-----BEGIN CERTIFICATE-----\n...`)
TLSClientConfig: rest.TLSClientConfig{CAData: []byte(os.Getenv("CERT"))},
// set some timeout or else it will wait forever if it can't reach the
// server
Timeout: 10 * time.Second,
// only required if your host is not accessible from the machine running
// this code--omit it if you don't have a `proxy-url` field in the
// kubeconfig entry for your cluster.
Proxy: http.ProxyURL(&url.URL{Scheme: "http", Host: os.Getenv("PROXY")}),
})
rest.Config
对象有很多可能相关或不相关的字段;您可以在此处找到完整文档。