Live Optics | Kubernetes | Creare un account di servizio con Kubectl

Per completare una raccolta Kubernetes di Live Optics, è necessario utilizzare un account con almeno accesso read-only agli endpoint API a cui Live Optics accederà.

Questo articolo descrive come:

• Creazione di un account di servizio
• Creare un ruolo utente con accesso almeno read-only all'API
• Associare il ruolo utente all'account di servizio
• Creare un file kubeconfig per l'account che Live Optics deve utilizzare per la raccolta

Operazioni preliminari 

• Scaricare e installare kubectl.exe sul cluster remoto utilizzando le seguenti istruzioni: https://kubernetes.io/docs/tasks/tools/install-kubectl-linux/
  NOTA: Sono disponibili tre metodi di installazione a seconda della distribuzione e del pacchetto utilizzato. L'utente deve determinare quale metodo utilizzare per la configurazione.
• Verificare che la versione del software rientri in una differenza di versione minima del cluster (se kubectl.exe è già installato nel sistema)
• Scarica il file YAML allegato (liveoptics-read-api-permissions.yaml) che si trova alla fine di questo articolo
• Scaricare il file Kubeconfig allegato (kube_config_template.txt) che si trova alla fine di questo articolo
   

NOTA: Gli screenshot utilizzati nell'articolo sono, ad esempio, solo a scopo informativo. Assicurarsi di utilizzare le credenziali di accesso corrette, inclusi gli indirizzi IP e i numeri di porta per il proprio ambiente.
 

1. Copiare il file YAML nel cluster remoto utilizzando SCP. Individuare il percorso desiderato. In questo esempio viene utilizzato il percorso home per l'utente che ha eseguito l'accesso.

   scp <path to liveoptics-read-api-permissions.yaml> <remote_userid>@<remote_host>:<target_path>

   
   
    
   
    
2. Connettersi tramite SSH al cluster remoto utilizzando il seguente comando:

   ssh -l <username> <remote hostname/IP>

   
   È possibile utilizzare qualsiasi client SSH desiderato. In questo esempio viene utilizzato il comando SSH integrato in Windows.
   
    
    
3. Applicare il file YAML allegato a questo articolo utilizzando il seguente comando:
    

   sudo kubectl apply -f liveoptics-read-api-permissions.yaml

   
   Ciò crea:
      - Un account di servizio (liveoptics-read-api)
   - Un token (liveoptics-read-api-token)
   - Un ruolo (liveoptics-read-api-access)
   - Un'associazione di ruoli (liveoptics-read-api-binding)
   
    
   
   Il ruolo creato dal file YAML dispone delle autorizzazioni Get, List e Watch per le seguenti risorse:
   • App/set di replica
   • App/statefulset
   • Metrics.k8s.io/*
   • Nodi
   • Nodi/stato
   • Volumi persistenti
   • Persistentvolumeclaims
   • Baccelli
   • Storage.k8s.io/*
   • Snapshot.storage.k8s.io/*
      
4. Utilizzare il seguente comando per recuperare i dati del token creati automaticamente nel passaggio 3. Il nome del token viene visualizzato nell'output del passaggio 3. In questo esempio, il nome del token è liveoptics-read-api-token.
    

   sudo kubectl describe secret <token name>

   
    
    
5. Copiare il testo completo del token (senza spazi vuoti) e salvarlo per il passaggio 7. 
   
    
    
6. Successivamente, è necessario recuperare i dati della CA per il cluster. Utilizzare il seguente comando per visualizzare i dati del certificato. Copiarlo e salvarlo per il passaggio successivo.

   sudo kubectl config view --raw -o jsonpath='{.clusters[0].cluster.certificate-authority-data}'

   
    
    
7. Aprire il file del modello Kubeconfig in un editor di testo.
   Sostituire < CA Data> con i dati del certificato copiati nel passaggio precedente. 
   Sostituire <l'URL> del server con l'URL del cluster e assicurarsi di includere il numero di porta.
   Sostituire< Token Data> con il token copiato nel passaggio 5. 
   
   L'esempio seguente mostra un file del modello Kubeconfig completato. 
   
    
    
8. Salvare il file nella posizione desiderata. È ora possibile avviare una raccolta Kubernetes utilizzando il raccoglitore Live Optics. Per ulteriori informazioni, vedere Completamento di una raccolta Kubernetes. 

In caso di domande, contattare il supporto Live Optics all'indirizzo liveoptics.support@dell.com.