操作场景

本文将以CCE集群为例，介绍如何通过kubectl操作CCE集群。

使用kubectl操作集群

背景信息

若您需要从客户端计算机连接到kubernetes集群，请使用kubernetes命令行客户端kubectl。

前提条件

CCE支持“VPC网络内访问”和“互联网访问”两种方式访问集群。

• VPC网络内访问：您需要在ECS控制台购买一台云服务器，并确保和当前集群在同个VPC内。
• 互联网访问：您需要准备一台能连接公网的云服务器。

                  

                    
注意
                    
通过“互联网访问”方式访问集群，集群的kube-apiserver将会暴露到互联网，存在被攻击的风险，建议对kube-apiserver所在节点的EIP配置DDoS高防服务。
                    
                  
                  

下载kubectl

您需要先下载kubectl以及配置文件，拷贝到您的客户端机器，完成配置后，即可以使用访问kubernetes集群。

请到kubernetes版本发布页面下载与集群版本对应的或者更新的kubectl。

安装和配置kubectl

步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群下的“命令行工具 > kubectl”。

步骤 2 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。

                  

                    
说明
                    
您可以在“kubectl”页签下方便的下载kubectl配置文件（kubeconfig.json），CCE支持帐号和IAM用户分别下载该配置文件，IAM用户下载的配置文件只有30天的有效期，而天翼云帐号下载的配置文件会长期有效。该文件用于对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。
由于EIP无法固定，所以服务器端证书无法预置EIP，若从互联网访问则无法开启客户端校验服务器端。如需开启客户端校验服务器端，请使用VPC访问方式。
IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。