k8s二进制集群之Kubectl部署

继续上一篇文章《k8s二进制集群之Kube ApiServer部署》下面介绍一下k8s中的命令行管理工具kubectl。
通过kubectl可以与k8s集群进行交互与操作，可以用它来创建、更新、删除和描述集群中的各种资源，如节点、部署、服务、Pod、ReplicaSet、StatefulSet、DaemonSet、Job 、 CronJob，包括故障排查、信息获取和配置管理等。

创建kubectl证书请求文件

后续kube-apiserver 使用RBAC对客户端（如kubelet、kube-proxy、Pod）请求进行授权；
kube-apiserver 预定义了一些 RBAC使用的 RoleBindings，如 cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定，该Role 授予了调用kube-apiserver 的所有 API的权限；
O指定该证书的 Group 为 system:masters, kubelet使用该证书访问 kube-apiserver 时，由于证书被CA签名，所以认证通过，同时由于证书用户组为经过预授权的 system:masters，所以被授予访问所有 API的权限；

cat > admin-csr.json <<"EOF"
{
 "CN": "admin",
 "hosts": [],
 "key": {
  "algo": "rsa",
  "size": 2048
 },
 "names": [{
  "C":"CN",
  "ST":"zhejiang",
  "L":"hangzhou",
  "O":"system:masters",
  "OU":"system"
 }]
}
EOF

生成admin证书文件

拥有amdin证书才可以管理和维护k8s集群、安全性校验以及k8s API的授权访问；

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare