简体中文

如何获取导入集群信息？

问题描述

获取连接导入集群所需的配置信息，以便平台能够被授权访问和管理该集群。本节提供获取导入集群信息的操作步骤。

前提条件

已配置可用的 kubectl 环境。**对于公有云集群，强烈建议使用云厂商提供的 CloudShell。**如果无法使用 CloudShell，建议使用 Linux 或 macOS。
已获取导入集群的 KubeConfig 文件并复制到安装有 kubectl 的环境中。为避免误操作其他环境，强烈建议采用以下任一无破坏性方案：
- 备份方案：先备份现有 kubeconfig 到安全位置：cp "${HOME}/.kube/config" "${HOME}/.kube/config.backup"
- 隔离方案：设置 KUBECONFIG 环境变量指向导入的 kubeconfig：export KUBECONFIG="/path/to/imported/kubeconfig"
- 合并方案：使用 kubectl 的合并/扁平化功能，且不丢失现有上下文：
  1. export KUBECONFIG="/path/to/imported/kubeconfig:${HOME}/.kube/config"
  2. kubectl config view --flatten > "${HOME}/.kube/merged.kubeconfig"
  3. export KUBECONFIG="${HOME}/.kube/merged.kubeconfig"

获取集群信息

获取集群 token

执行以下命令：

# [重要] 以下操作仅支持 bash

# 手动创建 secret，绑定服务账号，并生成一个不失效的 token
kubectl get ns cpaas-system > /dev/null 2>&1 || kubectl create namespace cpaas-system
kubectl create serviceaccount k8sadmin -n cpaas-system
kubectl create clusterrolebinding k8sadmin --clusterrole=cluster-admin --serviceaccount=cpaas-system:k8sadmin

cat | kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: k8sadmin
  namespace: cpaas-system
  annotations:
    kubernetes.io/service-account.name: "k8sadmin"
type: kubernetes.io/service-account-token
EOF

kubectl -n cpaas-system describe secret \
    $(kubectl -n cpaas-system get secret | (grep k8sadmin || echo "$_") | awk '{print $1}') \
    | grep -F 'token:' | awk '{print $2}'

WARNING

本操作创建了一个集群管理员级别的凭证，且该凭证设计为不失效。

如果可能，优先使用最小权限的 RBAC，且仅限于所需资源。
请妥善保存该 token，使用完成后请及时轮换或撤销。
限制谁可以读取 cpaas-system 命名空间中的 Secret 对象。

以下为上一步获取的 token 示例。
验证 token 的过期时间。

使用任何支持解析 JWT token 的工具对 token 进行解析，确认其过期时间。如果解析结果中能找到过期字段（包含 "exp" 的键，如下图所示），则平台在该时间之后将无法管理导入集群。此时请停止操作并联系技术支持。

TIP

过期时间在原始 JWT 负载中记录为 "exp": 1684486916,，该值为 UNIX 时间戳，可转换为 UTC 时间。

完成后进行清理（撤销访问权限）：

kubectl delete clusterrolebinding k8sadmin
kubectl -n cpaas-system delete secret k8sadmin
kubectl -n cpaas-system delete serviceaccount k8sadmin

获取导入集群 API 服务器地址及 CA 证书

TIP

如果已通过平台导入集群页面的 Parse KubeConfig File 功能获取了 API 服务器地址和 CA 证书，可跳过此步骤。

执行以下命令：

# 查看导入集群的 API 服务器地址，可能有多个地址，请选择适合您环境的地址。
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw -ojsonpath='{$.clusters..cluster.server}'
addr_apiserver='<Selected API server address>'

# 获取上述 API 服务器对应的 CA 证书
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw \
    -ojsonpath="{$.clusters[?(@.cluster.server == '${addr_apiserver}')].cluster.certificate-authority-data}" \
    | { base64 -d 2>/dev/null || base64 -D; }

以 PDF 格式查看完整文档

如何获取导入集群信息？

问题描述

获取连接导入集群所需的配置信息，以便平台能够被授权访问和管理该集群。本节提供获取导入集群信息的操作步骤。

前提条件

已配置可用的 kubectl 环境。**对于公有云集群，强烈建议使用云厂商提供的 CloudShell。**如果无法使用 CloudShell，建议使用 Linux 或 macOS。
已获取导入集群的 KubeConfig 文件并复制到安装有 kubectl 的环境中。为避免误操作其他环境，强烈建议采用以下任一无破坏性方案：
- 备份方案：先备份现有 kubeconfig 到安全位置：cp "${HOME}/.kube/config" "${HOME}/.kube/config.backup"
- 隔离方案：设置 KUBECONFIG 环境变量指向导入的 kubeconfig：export KUBECONFIG="/path/to/imported/kubeconfig"
- 合并方案：使用 kubectl 的合并/扁平化功能，且不丢失现有上下文：
  1. export KUBECONFIG="/path/to/imported/kubeconfig:${HOME}/.kube/config"
  2. kubectl config view --flatten > "${HOME}/.kube/merged.kubeconfig"
  3. export KUBECONFIG="${HOME}/.kube/merged.kubeconfig"

获取集群信息

获取集群 token

执行以下命令：

# [重要] 以下操作仅支持 bash

# 手动创建 secret，绑定服务账号，并生成一个不失效的 token
kubectl get ns cpaas-system > /dev/null 2>&1 || kubectl create namespace cpaas-system
kubectl create serviceaccount k8sadmin -n cpaas-system
kubectl create clusterrolebinding k8sadmin --clusterrole=cluster-admin --serviceaccount=cpaas-system:k8sadmin

cat | kubectl apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: k8sadmin
  namespace: cpaas-system
  annotations:
    kubernetes.io/service-account.name: "k8sadmin"
type: kubernetes.io/service-account-token
EOF

kubectl -n cpaas-system describe secret \
    $(kubectl -n cpaas-system get secret | (grep k8sadmin || echo "$_") | awk '{print $1}') \
    | grep -F 'token:' | awk '{print $2}'

WARNING

本操作创建了一个集群管理员级别的凭证，且该凭证设计为不失效。

如果可能，优先使用最小权限的 RBAC，且仅限于所需资源。
请妥善保存该 token，使用完成后请及时轮换或撤销。
限制谁可以读取 cpaas-system 命名空间中的 Secret 对象。

以下为上一步获取的 token 示例。
验证 token 的过期时间。

使用任何支持解析 JWT token 的工具对 token 进行解析，确认其过期时间。如果解析结果中能找到过期字段（包含 "exp" 的键，如下图所示），则平台在该时间之后将无法管理导入集群。此时请停止操作并联系技术支持。

TIP

过期时间在原始 JWT 负载中记录为 "exp": 1684486916,，该值为 UNIX 时间戳，可转换为 UTC 时间。

完成后进行清理（撤销访问权限）：

kubectl delete clusterrolebinding k8sadmin
kubectl -n cpaas-system delete secret k8sadmin
kubectl -n cpaas-system delete serviceaccount k8sadmin

获取导入集群 API 服务器地址及 CA 证书

TIP

如果已通过平台导入集群页面的 Parse KubeConfig File 功能获取了 API 服务器地址和 CA 证书，可跳过此步骤。

执行以下命令：

# 查看导入集群的 API 服务器地址，可能有多个地址，请选择适合您环境的地址。
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw -ojsonpath='{$.clusters..cluster.server}'
addr_apiserver='<Selected API server address>'

# 获取上述 API 服务器对应的 CA 证书
kubectl --kubeconfig "${KUBECONFIG:-${HOME}/.kube/config}" config view --show-managed-fields=false --flatten --raw \
    -ojsonpath="{$.clusters[?(@.cluster.server == '${addr_apiserver}')].cluster.certificate-authority-data}" \
    | { base64 -d 2>/dev/null || base64 -D; }

ACP CLI (ac)

节点管理

托管集群

导入集群

公有云集群初始化

网络初始化

存储初始化

如何操作

实用指南

备份管理

恢复管理

架构

核心概念

功能指南

如何操作

ALB

故障排除

概念

功能指南

实用指南

故障排除

安装

核心概念

操作指南

实用指南

数据容灾

核心概念

操作指南

实用指南

操作指南

实用指南

合规

使用指南

API Refiner

用户

功能指南

用户组

功能指南

角色

功能指南

IDP

功能指南

故障排除

用户策略

功能指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

问题处理

网络

操作指南

实用指南

存储

操作指南

备份和恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

实用指南

安装

使用指南

概览

安装

升级

功能指南

How To

概念