Install and Set Up kubectl on Linux

Table of Contents

• 准备开始
• 在 Linux 系统中安装 kubectl
  • 用 curl 在 Linux 系统中安装 kubectl
    • 执行命令遇到问题
    • 解决办法
    • 安装 kubectl
• 延伸阅读

准备开始

kubectl 版本和集群版本之间的差异必须在一个小版本号内。 例如：v1.32 版本的客户端能与 v1.31、 v1.32 和 v1.33 版本的控制面通信。 用最新兼容版的 kubectl 有助于避免不可预见的问题。

在 Linux 系统中安装 kubectl

在 Linux 系统中安装 kubectl 有如下几种方法：

• 用 curl 在 Linux 系统中安装 kubectl
• 用原生包管理工具安装
• 用其他包管理工具安装

用 curl 在 Linux 系统中安装 kubectl

X86-64 and ARM64:

X86-64 and ARM64

• x86_64
• arm64

curl -LO "https://dl.k8s.io/release/$(curl -L -s \
https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl"

curl -LO "https://dl.k8s.io/release/$(curl -L -s \
https://dl.k8s.io/release/stable.txt)/bin/linux/arm64/kubectl"

执行命令遇到问题

curl -LO https://dl.k8s.io/release/v1.23.0/bin/linux/amd64/kubectl
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   138  100   138    0     0     77      0  0:00:01  0:00:01 --:--:--    77
  0     0    0     0    0     0      0      0 --:--:--  0:00:03 --:--:--     0
curl: (60) Peer's Certificate issuer is not recognized.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

这个报错信息表明在使用 curl 命令下载文件时，SSL 证书验证失败，以下是详细解释：

1.错误代码及含义
curl: (60) Peer's Certificate issuer is not recognized.：此错误代码 60 表示 curl 在验证服务器的 SSL 证书时，无法识别证书的颁发机构（CA）。也就是说，curl 默认使用的证书颁发机构列表中，不包含为服务器证书签名的 CA。

2.默认证书验证机制：curl 默认会对服务器的 SSL 证书进行验证，它使用一个包含多个证书颁发机构公钥的文件（证书包）来完成验证。如果服务器的证书是由这个证书包中的某个 CA 签名的，curl 会认为该证书是可信的。
可能的问题

3.证书过期：服务器使用的 SSL 证书可能已经超过了有效期，导致验证失败。

4.域名不匹配：证书上的域名与你请求的 URL 中的域名不一致，也会使验证不通过。

5.CA 证书缺失：curl 使用的默认 CA 证书包中，没有包含为服务器证书签名的 CA 的信息。

解决办法

需要把命令修改为：curl -kLO https://dl.k8s.io/release/v1.23.0/bin/linux/amd64/kubectl

禁用证书验证：使用 -k 或 –insecure 选项可以关闭 curl 的证书验证功能。不过，这种方法存在安全风险，因为它会使你无法确保连接的服务器是你期望的那个，可能会遭受中间人攻击

安装 kubectl

curl -kLO https://dl.k8s.io/release/v1.23.0/bin/linux/amd64/kubectl
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   138  100   138    0     0    184      0 --:--:-- --:--:-- --:--:--   185
100 44.4M  100 44.4M    0     0  1362k      0  0:00:33  0:00:33 --:--:--  147k

md5sum kubectl
a60e14348d808ea0b11acdc2b1b026b5  kubectl

chmod +x ./kubectl
cp /root/kubectl /usr/bin/kubectl
ln -s /usr/bin/kubectl /usr/local/bin/kubectl

whereis kubectl
kubectl: /usr/bin/kubectl /usr/local/bin/kubectl

kubectl version
Client Version: version.Info{Major:"1", Minor:"23", GitVersion:"v1.23.0", GitCommit:"ab69524f795c42094a6630298ff53f3c3ebab7f4", GitTreeState:"clean", BuildDate:"2021-12-07T18:16:20Z", GoVersion:"go1.17.3", Compiler:"gc", Platform:"linux/amd64"}

延伸阅读

1.原文地址