kubeconfig内容分析

kubeconfig默认在~/.kube/config，主要包括certificate-authority-data根证书、client-certificate-data客户端证书、client-key-data客户端私钥、context上下文、server即kube-apiserver IP和端口。

 

查看根证书内容

echo certificate-authority-data内容 | base64 -d > ca.crt
openssl x509 -in ca.crt -noout -text

查看客户端证书内容

echo client-certificate-data内容 | base64 -d > client.crt
openssl x509 -in client.crt -noout -text

查看服务端证书内容（SAN中保存了kube-apiserver IP）

 

之所以kubectl权限极高，是因为使用了group system:masters，绑定了cluster-admin角色。
用户任意，不需要用户对应的ServiceAccount。