本頁詳細說明如何透過已設定的 IDP 進行驗證,並取得使用者身分和叢集的 kubeconfig 檔案。
事前準備
如要透過身分識別提供者驗證身分並產生 kubeconfig 檔案,請先完成下列步驟:
請執行
gdcloud init指令。詳情請參閱「初始化 gdcloud CLI 預設設定」一節。安裝驗證外掛程式,這是使用產生的 kubeconfig 檔案的必要條件:
gdcloud components install gdcloud-k8s-auth-plugin
使用已設定的識別資訊提供者登入
使用設定的識別資訊提供者登入:
gdcloud auth login
按照操作說明,透過身分識別提供者驗證身分。
使用 gdcloud auth login 指令時,請注意下列事項:
- 並使用目前的機構進行驗證。切換機構後,請執行
gdcloud auth login指令。 - 您必須在系統的信任憑證存放區中,安裝登入設定的憑證授權單位 (CA) 憑證。如果未安裝 CA 憑證,請使用
--login-config-cert標記指定路徑,以便找到 CA 憑證。詳情請參閱「擷取 GDC 信任組合」。 - 裝置上必須有瀏覽器。使用
--no-browser標記,透過第二部裝置登入。
取得 kubeconfig 檔案
向身分識別提供者完成驗證後,取得含有使用者身分的 kubeconfig 檔案:
gdcloud clusters get-credentials CLUSTER_NAME
這會在預設路徑 ${HOME}/.kube/config 中,使用已驗證的使用者和叢集建立或更新 kubeconfig 檔案。
產生或更新 kubeconfig 檔案時,請注意下列事項:
- 在
KUBECONFIG環境路徑中指定所需路徑,即可將檔案儲存至其他路徑。 - kubeconfig 是長期有效的檔案,但驗證使用者的權杖效期很短。如果 kubeconfig 檔案停止運作,請執行
gdcloud auth login指令再次進行驗證。