Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Como o endpoint de cluster autorizado funciona

Esta seção descreve como o CLI do kubectl, o arquivo kubeconfig e o endpoint de cluster autorizado funcionam juntos para permitir que você acesse diretamente um cluster Kubernetes downstream, sem autenticar através do servidor Rancher. É destinado a fornecer informações de fundo e contexto às instruções para como configurar o kubectl para acessar diretamente um cluster.

Sobre o Arquivo Kubeconfig

O arquivo kubeconfig é usado para configurar o acesso ao Kubernetes quando utilizado em conjunto com a ferramenta de linha de comando kubectl (ou outros clientes).

O arquivo kubeconfig e seu conteúdo são específicos para cada cluster. Ele pode ser baixado na página Clusters no Rancher:

  1. Clique em no canto superior esquerdo.

  2. Selecione Gerenciamento de Cluster.

  3. Encontre o cluster cujo kubeconfig você deseja baixar e selecione no final da linha.

  4. Selecione Baixar KubeConfig no submenu.

Você precisa de um arquivo kubeconfig separado para cada cluster ao qual você tem acesso no Rancher.

Após baixar o arquivo kubeconfig, você poderá usar o arquivo kubeconfig e seus contextos do Kubernetes para acessar seu cluster downstream.

Se os administradores tiverem desativado a geração de token do kubeconfig, o arquivo kubeconfig requer que o Rancher CLI esteja presente no seu PATH.

Sobre o Webhook de Autenticação kube-api-auth

O microserviço kube-api-auth é implantado para fornecer a funcionalidade de autenticação do usuário para o endpoint de cluster autorizado. Quando você acessa o cluster de usuário usando kubectl, o servidor da API do Kubernetes do cluster autentica você usando o serviço kube-api-auth como um webhook.

Durante a provisão do cluster, o arquivo /etc/kubernetes/kube-api-authn-webhook.yaml é implantado e kube-apiserver é configurado com --authentication-token-webhook-config-file=/etc/kubernetes/kube-api-authn-webhook.yaml. Isso configura o kube-apiserver para consultar http://127.0.0.1:6440/v1/authenticate para determinar a autenticação para tokens bearer.

As regras de agendamento para kube-api-auth estão listadas abaixo:

Componente nodeAffinity nodeSelectorTerms nodeSelector Tolerâncias

kube-api-auth

beta.kubernetes.io/os:NotIn:windows node-role.kubernetes.io/controlplane:In:"true"

none

operator:Exists