操作場景

本文將以CCE集群為例，介紹如何通過kubectl操作CCE集群。

使用kubectl操作集群

背景信息

若您需要從客戶端計算機連接到kubernetes集群，請使用kubernetes命令行客戶端。

前提條件

CCE支持“VPC網絡內訪問”和“互聯網訪問”兩種方式訪問集群。

• VPC網絡內訪問：您需要在ECS控制臺購買一臺云服務器，并確保和當前集群在同個VPC內。
• 互聯網訪問：您需要準備一臺能連接公網的云服務器。

                  

                    
注意
                    
通過“互聯網訪問”方式訪問集群，集群的kube-apiserver將會暴露到互聯網，存在被攻擊的風險，建議對kube-apiserver所在節點的EIP配置DDoS高防服務。
                    
                  
                  

下載kubectl

您需要先下載kubectl以及配置文件，拷貝到您的客戶端機器，完成配置后，即可以使用訪問kubernetes集群。

請到下載與集群版本對應的或者更新的kubectl。

安裝和配置kubectl

步驟 1 登錄CCE控制臺，在左側導航欄中選擇“資源管理 > 集群管理”，單擊待連接集群下的“命令行工具 > kubectl”。

步驟 2 在集群詳情頁中的“kubectl”頁簽下，請參照界面中的提示信息完成集群連接。

                  

                    
說明
                    
您可以在“kubectl”頁簽下方便的下載kubectl配置文件（kubeconfig.json），CCE支持帳號和IAM用戶分別下載該配置文件，IAM用戶下載的配置文件只有30天的有效期，而天翼云帳號下載的配置文件會長期有效。該文件用于對接認證用戶集群，請用戶妥善保存該認證憑據，防止文件泄露后，集群有被攻擊的風險。如果不幸泄露，可以通過證書更新的方式，替換認證憑據。
由于EIP無法固定，所以服務器端證書無法預置EIP，若從互聯網訪問則無法開啟客戶端校驗服務器端。如需開啟客戶端校驗服務器端，請使用VPC訪問方式。
IAM用戶下載的配置文件所擁有的Kubernetes權限與CCE控制臺上IAM用戶所擁有的權限一致。