你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
访问 Azure Kubernetes 舰队管理器中心群集的 Kubernetes API
如果你的 Azure Kubernetes 舰队管理器(Kubernetes 舰队)资源是使用中心群集创建的,那么你可将其用于集中控制 Kubernetes 资源传播等方案。 在本文中,你将了解如何访问 Kubernetes 舰队中心群集的 Kubernetes API。
先决条件
- 如果没有 Azure 订阅,请在开始之前创建一个 Azure 免费帐户。
- 你需要有包括中心群集和成员群集的 Kubernetes 舰队资源。 如果没有,请参阅使用 Azure CLI 创建 Azure Kubernetes 舰队管理器资源并加入成员群集。
- 使用的标识(用户或服务主体)需要在 Kubernetes 舰队资源上具有 Microsoft.ContainerService/fleets/listCredentials/action 权限。
访问 Kubernetes API
为订阅 ID、资源组和 Kubernetes 舰队资源设置以下环境变量:
export SUBSCRIPTION_ID=<subscription-id> export GROUP=<resource-group-name> export FLEET=<fleet-name>
使用
az account set
命令设置默认 Azure 订阅:az account set --subscription ${SUBSCRIPTION_ID}
使用
az fleet get-credentials
命令获取 Kubernetes 舰队中心群集的 kubeconfig 文件:az fleet get-credentials --resource-group ${GROUP} --name ${FLEET}
输出应类似于以下示例:
Merged "hub" as current context in /home/fleet/.kube/config
为中心群集的 Kubernetes 舰队资源的
FLEET_ID
值设置以下环境变量:export FLEET_ID=/subscriptions/${SUBSCRIPTION_ID}/resourceGroups/${GROUP}/providers/Microsoft.ContainerService/fleets/${FLEET}
使用以下命令授权标识访问 Kubernetes 舰队中心群集。
对于
ROLE
环境变量,可以使用以下四个内置角色定义之一作为值:- Azure Kubernetes 舰队管理器 RBAC 读者
- Azure Kubernetes 舰队管理器 RBAC 编写者
- Azure Kubernetes 舰队管理器 RBAC 管理员
- Azure Kubernetes 舰队管理器 RBAC 群集管理员
export IDENTITY=$(az ad signed-in-user show --query "id" --output tsv) export ROLE="Azure Kubernetes Fleet Manager RBAC Cluster Admin" az role assignment create --role "${ROLE}" --assignee ${IDENTITY} --scope ${FLEET_ID}
输出应类似于以下示例:
{ "canDelegate": null, "condition": null, "conditionVersion": null, "description": null, "id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>/providers/Microsoft.Authorization/roleAssignments/<assignment>", "name": "<name>", "principalId": "<id>", "principalType": "User", "resourceGroup": "<GROUP>", "roleDefinitionId": "/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69", "scope": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>", "type": "Microsoft.Authorization/roleAssignments" }
验证是否可以使用
kubectl get memberclusters
命令访问 API 服务器:kubectl get memberclusters
如果命令成功,输出应类似于以下示例:
NAME JOINED AGE aks-member-1 True 2m aks-member-2 True 2m aks-member-3 True 2m