kubernetes托管及项目授权

安装业务kubernetes集群后，需要托管到苍穹gPaaS中进行统一管理。苍穹gPaaS可以管理多套K8S集群，比如同时管理苍穹的测试环境、UAT环境和生产环境。但是，如果这些环境在网络上进行了隔离，那就需要每个环境部署一套苍穹gPaaS来管理。

托管集群后，需要授权项目使用，下图三个部署实践，展示了用户、项目、集群与命名空间（环境）的关系，能够帮助用户对多租户及部署管理上的理解。

本文将介绍如何托管已经安装好的kubernetes集群，并授权租户项目使用。

1 认证方式介绍

苍穹gPaaS通过访问K8S的Apiserver地址来进行连接管理，因此需要在gPaaS中填写所有管理的K8S的Apiserver地址、访问凭证等信息。

为保证Apiserver接口安全，防止未授权调用，访问Kubernetes有三种客户端认证方式。

1. TLS认证，是基于CA根证书签名的双向数字证书认证方式，是最严格的认证

2. Token认证，通过Token识别每个合法的用户，--token-auth-file=SOMEFILE

3. HTTP Basic认证，通过指定 --basic-auth-file=SOMEFILE设置(1.19版本开始不支持basic认证，可使用token方式)

具体介绍及设置参考kubernetes官网Authenticating。不管哪种授权方式，苍穹gPaaS接入K8S需要有ClusterRole的管理员授权，能够操作各类资源对象。

2 托管kubernetes集群

托管K8S集群，可以在管理后台和服务控制台中进行操作。它们的区别在于：管理后台可以管理所有gPaaS托管的K8S，而服务控制台中，只可以管理当前所在租户项目托管的K8S。

K8S集群托管以后，并不是所有人所有项目都可以使用，需要管理员或者集群所有者授权项目才可以使用。同时可以指定项目使用的命名空间、资源配额、调度规则等。

2.1 服务控制台托管K8S集群

用户登录服务控制台CONSOLE，在左上角菜单中找到【容器服务】→【集群管理】，点击“添加集群”，在弹出的表单中，填写集群托管信息。

集群名称：给集群输入一个名称，用于区分不同的集群。

集群英文标识：给集群输入一个唯一标识，一般用于API调用时作为参数使用。

API_host/认证类型：即Apiserver的连接地址和凭证，一般使用“TLS认证”，认证信息可通过在集群master上执行命令：

# cat /etc/kubernetes/admin.conf

或者在任何通过kubectl连接集群的环境上执行命令：

# cat ~/.kube/config

来获得连接信息，如下图所示:

注意：填写client_certificate和client_key值时不要换行

所属