Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Comment fonctionne le point de terminaison de cluster autorisé

Cette section décrit comment le CLI kubectl, le fichier kubeconfig et le point de terminaison de cluster autorisé fonctionnent ensemble pour vous permettre d’accéder directement à un cluster Kubernetes en aval, sans vous authentifier via le serveur Rancher. Il est destiné à fournir des informations de base et un contexte aux instructions pour comment configurer kubectl pour accéder directement à un cluster.

À propos du fichier Kubeconfig

Le fichier kubeconfig est utilisé pour configurer l’accès à Kubernetes lorsqu’il est utilisé en conjonction avec l’outil de ligne de commande kubectl (ou d’autres clients).

Le fichier kubeconfig et son contenu sont spécifiques à chaque cluster. Il peut être téléchargé depuis la page Clusters dans Rancher :

Cliquez sur ☰ dans le coin supérieur gauche.
Sélectionnez Gestion des clusters.
Trouvez le cluster dont vous souhaitez télécharger le kubeconfig, et sélectionnez ⁝ à la fin de la ligne.
Sélectionnez Download KubeConfig dans le sous-menu.

Vous avez besoin d’un fichier kubeconfig séparé pour chaque cluster auquel vous avez accès dans Rancher.

Après avoir téléchargé le fichier kubeconfig, vous pouvez l’utiliser ainsi que ses contextes Kubernetes pour accéder à votre cluster en aval.

Si les administrateurs ont désactivé la génération de token kubeconfig, le fichier kubeconfig nécessite que le Rancher CLI soit présent dans votre PATH.

À propos du webhook d’authentification kube-api-auth

Le microservice kube-api-auth est déployé pour fournir la fonctionnalité d’authentification des utilisateurs pour le point de terminaison de cluster autorisé. Lorsque vous accédez au cluster utilisateur en utilisant kubectl, le serveur API Kubernetes du cluster vous authentifie en utilisant le service kube-api-auth comme webhook.

Lors de la provision du cluster, le fichier /etc/kubernetes/kube-api-authn-webhook.yaml est déployé et kube-apiserver est configuré avec --authentication-token-webhook-config-file=/etc/kubernetes/kube-api-authn-webhook.yaml. Cela configure le kube-apiserver pour interroger http://127.0.0.1:6440/v1/authenticate afin de déterminer l’authentification pour les jetons porteurs.

Les règles de planification pour kube-api-auth sont énumérées ci-dessous :

Composant nodeAffinity nodeSelectorTerms nodeSelector Tolérances

Composant	nodeAffinity nodeSelectorTerms	nodeSelector	Tolérances
kube-api-auth	`beta.kubernetes.io/os:NotIn:windows` `node-role.kubernetes.io/controlplane:In:"true"`	none	`operator:Exists`

kube-api-auth

beta.kubernetes.io/os:NotIn:windows node-role.kubernetes.io/controlplane:In:"true"

none

operator:Exists