KubeEdge项目中InClusterConfig功能配置实践与问题解析

2025-05-31 11:24:14作者：裴锟轩Denise

背景介绍

在Kubernetes边缘计算框架KubeEdge的实际部署中，开发者经常会遇到需要使用InClusterConfig功能的情况。该功能允许Pod内部应用自动获取集群访问凭证，是Kubernetes原生的重要特性。本文将详细介绍在KubeEdge v1.17.0版本中配置InClusterConfig功能的完整过程，以及可能遇到的问题和解决方案。

核心配置要点

基础环境要求

K8s版本：v1.27.2
Docker版本：v24.0.7
CRI-Docker版本：v0.3.10
KubeEdge版本：v1.17.0

关键配置项

在KubeEdge中启用InClusterConfig功能需要修改两个核心组件的配置：

CloudCore配置：在cloudcore的ConfigMap中，需要启用dynamicController并设置授权要求：

dynamicController:
  enable: true
  requireAuthorization: true

EdgeCore配置：在edgecore的配置中，需要启用metaServer并设置授权要求：

metaManager:
  metaServer:
    requireAuthorization: true
    apiAudiences: null

常见问题与解决方案

问题现象

配置完成后，应用仍然报错：

KUBERNETES_SERVICE_HOST and KUBERNETES_SERVICE_PORT must be defined

根本原因

这是由于KubeEdge的授权机制未正确配置导致的。在v1.17.0版本中，需要特别注意以下几点：

Feature Gates配置：必须设置cloudCore.featureGates.requireAuthorization=true
RBAC权限问题：如果是在已有集群上修改配置而非初始安装，相关的ClusterRoleBinding不会自动创建

详细解决方案

1. 初始安装配置

如果是在新集群上部署，使用keadm init时直接设置：

keadm init --featureGates=requireAuthorization=true

2. 已有集群配置

对于已经运行的集群，需要手动创建以下RBAC资源：

创建ClusterRole：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: kubeedge:cloudcore
rules:
- apiGroups: ["certificates.k8s.io"]
  resources: ["certificatesigningrequests"]
  verbs: ["create", "get", "list", "watch"]

创建ClusterRoleBinding：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeedge:cloudcore
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: kubeedge:cloudcore
subjects:
- kind: ServiceAccount
  name: cloudcore
  namespace: kubeedge