- kubeadm 의 kubeconfig 파일 및 admin 관리는 /etc/kubernetes/admin.conf
ㄴ admin 은 kubeadm 과 cluster 를 제어하는 실제 사람을 지칭
ㄴㄴ 이파일을 사용하면 cluster 에 대한 root control 기능을 제어할수 있다.
ㄴ 이 파일에서 ca.crt 및 ca.key certificate 가 생성된다. Client Certificate 는 아래의 내용을 수행한다.
ㄴㄴ Client Certificate 는 (x509.ExtKeyUsageClientAuth)
ㄴㄴ system:masters organization.
ㄴㄴ CN 을 포함하지만, CN 은 어떤 CN 도 상관없습니다. kubeadm 은 kubernetes-admin CN 을 사용 합니다.
- kubelet 의 kubeconfig 파일은 /etc/kubernetes/kubelet.conf
ㄴ 이 파일에서 ca.crt 및 ca.key certificate 가 생성된다. Client Certificate 는 아래의 내용을 수행한다.
ㄴㄴ Client Certificate 는 (x509.ExtKeyUsageClientAuth)
ㄴㄴ system:masters organization.
ㄴㄴ CN 구성에 system:node:<hostname-lowercased>. 이 부분이 들어가야한다
- controller-manager 의 kubeconfig 파일은 /etc/kubernetes/controller-manager.conf
ㄴ 이 파일에서 ca.crt 및 ca.key certificate 가 생성된다. Client Certificate 는 아래의 내용을 수행한다.
ㄴㄴ Client Certificate 는 (x509.ExtKeyUsageClientAuth)
ㄴㄴ CN 구성에 system:kube-controller-manager 이 부분이 들어가야한다
- scheduler 의 kubeconfig 파일은 /etc/kubernetes/scheduler.conf
ㄴ 이 파일에서 ca.crt 및 ca.key certificate 가 생성된다. Client Certificate 는 아래의 내용을 수행한다.
ㄴㄴ Client Certificate 는 (x509.ExtKeyUsageClientAuth)
ㄴㄴ CN 구성에 system:kube-scheduler 이 부분이 들어가야한다
유의사항
- ca.crt 은 모든 kubeconfig 파일에 내장되어 있음
- kubeconfig파일이 이미 존제하고, 내용에 문제가 없는경우 kubeadm 은 kubeconfig 파일 생성을 생략합니다.
- kubeadm externalCA 모드로 실행하게되면 kubeconfig 를 생성하지 못하기때문에 kubeconfig 파일도 다 제공되어야 한다.
- --dry-run 모드로 kubeadm 이 수행되는경우 kubeconfig file은 임시 디렉토리에 기록되며, 저장된다.
- kubeconfig files은 kubeadm alpha phase kubeconfig all 로 개별적으로 호출이 가능하다.