本页面详细介绍了如何使用已配置的身份提供方进行身份验证,以及如何获取用户身份和集群的 kubeconfig 文件。
准备工作
在通过身份提供方进行身份验证并生成 kubeconfig 文件之前,请确保您已完成以下操作:
运行
gdcloud init命令。如需了解详情,请参阅初始化 gdcloud CLI 默认配置部分。安装身份验证插件,这是使用生成的 kubeconfig 文件所必需的:
gdcloud components install gdcloud-k8s-auth-plugin
使用配置的身份提供方登录
使用配置的身份提供方登录:
gdcloud auth login
按照说明通过身份提供方进行身份验证。
使用 gdcloud auth login 命令时,请考虑以下事项:
- 它会使用当前组织进行身份验证。切换组织后,运行
gdcloud auth login命令。 - 它要求登录配置的证书授权机构 (CA) 证书已安装在系统的受信任证书存储区中。如果未安装 CA 证书,请使用
--login-config-cert标志指定查找 CA 证书的路径。如需了解详情,请参阅提取 GDC 信任软件包。 - 需要设备上存在浏览器。使用
--no-browser标志通过第二部设备登录。
获取 kubeconfig 文件
通过身份提供商进行身份验证后,获取包含用户身份的 kubeconfig 文件:
gdcloud clusters get-credentials CLUSTER_NAME
此命令会在默认路径 ${HOME}/.kube/config 中创建或更新 kubeconfig 文件,其中包含经过身份验证的用户和集群。
生成或更新 kubeconfig 文件时,请考虑以下事项:
- 在
KUBECONFIG环境变量中指定所需的路径,以将其保存到其他路径。 - kubeconfig 文件的生命周期很长,但用于验证用户身份的令牌的生命周期很短。如果 kubeconfig 文件停止工作,请运行
gdcloud auth login命令重新进行身份验证。