oidc和k8s的显式配置

Question

我已经设置kube单节点群集与kubeadm。我已经配置了oidc并对〜/ .kube/config文件进行了修改。是否有任何显式配置必须对kubectl上下文或凭证执行？

我已将用户，客户端ID，客户端机密，id_token和刷新ID添加到/.kube/config文件中。 除此之外，我还为kube-apiserver.yaml文件添加了oidc-issuer-url，oidc-username-claim和oidc-client-id。

除此之外还有什么需要添加的？我想我错过了某些东西，因为我得到error: You must be logged in to the server (the server has asked for the client to provide credentials)当我尝试命令kubectl --user=name@gmail.com get nodes

Answer 1

你可以看一下apiserver的日志来检查你在验证过程中得到的错误。

您应该在apiserver.yaml中添加oidc-issuer-url，oidc-username-claim，oidc-client-id和--oidc-ca-file。