运维开发网

K8S进阶实践 之 认证与授权

运维开发网 https://www.qedev.com 2021-03-06 12:42 出处:51CTO 作者:wx592bc92b285c7
一、APIServer安全控制根据K8S的拓扑图,整个集群的所有资源控制调度,均通过apiserver进行控制与调度,首先用户通过kubectl访问apiserver,进行各种资源创建管理调度Authentication:身份认证,这个环节它面对的输入是整个httprequest,负责对来自client的请求进行身份校验,支持的方法包括:basicauth、client证书验证(https双向验证

一、APIServer安全控制

根据K8S的拓扑图,整个集群的所有资源控制调度,均需通过apiserver进行控制与调度,例如用户通过kubectl访问apiserver,由apiserver进行身份认证与授权信息获取后,方可进行各种资源的创建管理调度。

K8S进阶实践  之   认证与授权

  • Authentication:身份认证,这个环节它面对的输入是整个http request,负责对来自client的请求进行身份校验,支持的方法包括:basic auth、client证书验证(https双向验证)、jwt token(用于serviceaccount)

  • Authorization:鉴权,你可以访问哪些资源,在较新版本kubeadm引导启动的k8s集群的apiserver初始配置中,authorization-mode的默认配置是”Node,RBAC”。

  • Admission Control:准入控制,一个控制链(层层关卡),用于拦截请求的一种方式。偏集群安全控制、管理方面。

二、kubectl访问apiserver的认证过程

1、kubectl请求数据的过程

K8S进阶实践  之   认证与授权

2、查看了解配置文件的信息

K8S进阶实践  之   认证与授权

K8S进阶实践  之   认证与授权

3、把第二段的公钥进行解码生成证书(用于判断当前的apiserver证书是否受信任)

K8S进阶实践  之   认证与授权

4、查看apiserver服务采用的根证书

K8S进阶实践  之   认证与授权

5、验证kubectl证书与apiserver根证的有效性

K8S进阶实践  之   认证与授权

三、kubectl访问apiserver的授权过程

1、在kubectl通过证书访问apiserver时,已带上相关用户群组授权信息

K8S进阶实践  之   认证与授权

2、资源权限授权情况

K8S进阶实践  之   认证与授权

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号