Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Cómo funciona el Punto de Acceso Autorizado del Clúster

Esta sección describe cómo la CLI de kubectl, el archivo kubeconfig y el punto de acceso autorizado del clúster trabajan juntos para permitirte acceder directamente a un clúster de Kubernetes en sentido descendente, sin autenticarte a través del servidor Rancher. Se pretende proporcionar información de fondo y contexto a las instrucciones para configurar kubectl para acceder directamente a un clúster.

Acerca del Archivo Kubeconfig

El archivo kubeconfig se utiliza para configurar el acceso a Kubernetes cuando se usa en conjunto con la herramienta de línea de comandos kubectl (u otros clientes).

El archivo kubeconfig y su contenido son específicos para cada clúster. Se puede descargar desde la página Clusters en Rancher:

  1. Haz clic en en la esquina superior izquierda.

  2. Selecciona Gestión de Clústeres.

  3. Encuentra el clúster cuyo kubeconfig deseas descargar y selecciona al final de la fila.

  4. Selecciona Descargar KubeConfig del submenú.

Necesitas un archivo kubeconfig separado para cada clúster al que tengas acceso en Rancher.

Después de descargar el archivo kubeconfig, puedes utilizar el archivo kubeconfig y sus contextos de Kubernetes para acceder a tu clúster en sentido descendente.

Si los administradores tienen desactivada la generación de tokens kubeconfig, el archivo kubeconfig requiere que el CLI de Rancher esté presente en tu PATH.

Acerca del Webhook de Autenticación kube-api-auth

El microservicio kube-api-auth se despliega para proporcionar la funcionalidad de autenticación de usuario para el punto de acceso autorizado del clúster. Cuando accedes al clúster de usuario utilizando kubectl, el servidor API de Kubernetes del clúster te autentica utilizando el servicio kube-api-auth como un webhook.

Durante la provisión del clúster, se despliega el archivo /etc/kubernetes/kube-api-authn-webhook.yaml y se configura kube-apiserver con --authentication-token-webhook-config-file=/etc/kubernetes/kube-api-authn-webhook.yaml. Esto configura el kube-apiserver para consultar http://127.0.0.1:6440/v1/authenticate para determinar la autenticación de los tokens portadores.

Las reglas de programación para kube-api-auth se enumeran a continuación:

Componente nodeAffinity nodeSelectorTerms nodeSelector Tolerancias

kube-api-auth

beta.kubernetes.io/os:NotIn:windows node-role.kubernetes.io/controlplane:In:"true"

ninguno

operator:Exists