|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
認可されたクラスターエンドポイントの動作について
このセクションでは、kubectl CLI、kubeconfigファイル、および認可されたクラスターエンドポイントがどのように連携して、Rancherサーバーを介さずにダウンストリームKubernetesクラスターに直接アクセスできるかを説明します。これは、クラスターに直接アクセスするためのkubectlの設定方法に関する指示の背景情報と文脈を提供することを目的としています。
Kubeconfigファイルについて
kubeconfigファイルは、kubectlコマンドラインツール(または他のクライアント)と併用してKubernetesへのアクセスを構成するために使用されます。
kubeconfigファイルとその内容は、各クラスターに特有のものです。これは、Rancherの*Clusters*ページからダウンロードできます。
-
左上隅の*☰*をクリックします。
-
*クラスター管理*を選択します。
-
ダウンロードしたいkubeconfigを持つクラスターを見つけ、行の最後にある*⁝*を選択します。
-
サブメニューから*Download KubeConfig*を選択します。
Rancherでアクセスできる各クラスターには、別々のkubeconfigファイルが必要です。
kubeconfigファイルをダウンロードした後、kubeconfigファイルとそのKubernetes contextsを使用してダウンストリームクラスターにアクセスできるようになります。
管理者がkubeconfigトークン生成を無効にしている場合、kubeconfigファイルにはRancher CLIがPATHに存在する必要があります。
kube-api-auth認証Webhookについて
`kube-api-auth`マイクロサービスは、認可されたクラスターエンドポイントのユーザー認証機能を提供するためにデプロイされています。`kubectl`を使用してユーザークラスターにアクセスすると、クラスターのKubernetes APIサーバーは`kube-api-auth`サービスをウェブフックとして使用してあなたを認証します。
クラスターのプロビジョニング中に、ファイル`/etc/kubernetes/kube-api-authn-webhook.yaml`がデプロイされ、kube-apiserver`が--authentication-token-webhook-config-file=/etc/kubernetes/kube-api-authn-webhook.yaml`で構成されます。これにより、kube-apiserver`がhttp://127.0.0.1:6440/v1/authenticate`にクエリを送信してベアラートークンの認証を決定します。
`kube-api-auth`のスケジューリングルールは以下の通りです:
| コンポーネント | nodeAffinity nodeSelectorTerms | nodeSelector | トレランス |
|---|---|---|---|
kube-api-auth |
|
none |
|