Google Container Engine 管理容器

镜像概述和主要用途

这是一个提供Google Cloud SDK的Docker镜像，旨在简化Google Kubernetes集群及其他Google Cloud资源的管理操作。镜像中包含gcloud（用于认证和基础设施需求）和与Google部署的Kubernetes版本匹配的kubectl工具，用户可通过挂载凭证文件（如服务账号密钥）为容器提供管理权限。

核心功能和特性

• 集成关键工具：包含gcloud（用于认证、配置及基础设施管理）和kubectl（Kubernetes命令行工具）
• 版本匹配：kubectl版本与Google当前部署的Kubernetes版本保持一致
• 灵活认证：支持通过挂载服务账号密钥文件等方式进行身份验证
• 双模式支持：提供无状态（临时场景）和有状态（长期配置）两种使用方式

使用场景和适用范围

• 无状态使用：适用于CI/CD系统等临时、短暂的管理操作，无需预先配置
• 有状态使用：适用于个人设备（如笔记本电脑），通过预先配置减少重复输入，提升操作效率
• 目标用户：需要管理Google Kubernetes集群及其他Google Cloud资源（如计算实例、存储桶）的开发和运维人员

详细使用方法和配置说明

A) 无状态使用准备

无需初始化，适用于临时使用场景（如CI产品）。

要求：需准备包含服务账号信息的gcloud凭证文件，并将其挂载到容器的/root/.config/gcloud/credentials路径。

B) 有状态使用准备

有状态配置将配置与使用分离为不同生命周期步骤，适合个人设备以减少重复输入；缺点是频繁切换配置时可能覆盖现有配置（如在CI系统中）。

前提条件：

• 已创建用于Google Container Engine的服务账号
• 服务账号私钥已保存至项目文件夹的secrets/key.json路径

初始化步骤： 运行以下命令初始化kubectl以管理Kubernetes集群：

bash
docker run --rm -ti -v $PWD/secrets:/root/secrets tomologic/kubeadmin \
  initialize <project-id> <region> <cluster> secrets/key.json

参数说明：

• <project-id>：包含Kubernetes集群的项目ID
• <region>：集群所在区域
• <cluster>：容器集群名称
• secrets/key.json：容器内服务账号私钥文件路径

使用示例

有状态使用示例（初始化后）

设置命令别名简化操作：

bash
alias c="docker run --rm -i -v $PWD/secrets/.config:/root/.config -v $PWD/secrets/.kube:/root/.kube tomologic/kubeadmin"

使用别名执行管理命令：

bash
c kubectl get pods  # 列出集群pods
c gcloud container clusters list  # 列出容器集群

无状态使用示例：列出计算实例

bash
docker run --rm -i \
-v $HOME/.config/gcloud/credentials:/root/.config/gcloud/credentials:ro \
-e CLOUDSDK_COMPUTE_ZONE=europe-west1-a \
-e CLOUDSDK_COMPUTE_REGION=europe-west1 \
tomologic/kubeadmin gcloud \
--project my-project \
--account *** \
compute instances list

注意：使用的账号需先导入到主机的凭证文件中。有关Google工具的使用方法，请参考Google***文档。

无状态使用示例：通过服务账号密钥列出存储桶

bash
docker run --rm -v ${SERVICE_ACCOUNT_KEY}:/key.json:ro tomologic/kubeadmin sh -c \
"gcloud auth activate-service-account --key-file=/key.json && gcloud config set project ${PROJECT} && gsutil ls"