k8s系列-04-k8s的认证、授权和准入控制

声明:本文乃“运维家”原创,转载请注明出处,更多内容请关注公众号“运维家”。

主旨

本节主要介绍一下,k8s客户端如何经过认证访问到apiser客户端和服务端区别ver,以及k8s如何运维工作总结授权,是怎么判定访问者拥有什么权限等内容。

认证

1、客户端认证

客户端认证也称为TL客户端打S双向认证,为什么这么说呢,是因为kubectl在访问apiserver的时候,apiserver也要运维工程师有前途吗认证kubectl是否正确,他们都会访问CA来进行验证,如下图:


                                            k8s系列-04-k8s的认证、授权和准入控制

2、Bearertoken

Bearer运维工程师有前途吗token的方式,可以理解为apiserver将一个密码通过了非对称加密的方式告诉了kubectl,然后通过该密码进行相互访问,和TLS类似,但是少了CA,如下图:


                                            k8s系列-04-k8s的认证、授权和准入控制

3、Serviceaccount

上面客户端客户端微信证书认证和Bearertoken的两种认证方式,都是外部访问apiserver的时候使用的方式,那么我们这次说的Serviceaccount是内部访问pod和apiserver交互时候采用的一种方式。Serviceaccount包括了,name客户端打space、token、ca,且通过目录挂载的方式给予pod,当pod运行起来的时候,就会读取到这些信息,从而使用该方式和apiserver进行通信。如下图:


                                            k8s系列-04-k8s的认证、授权和准入控制

授权-RBAC

认证我们介绍完了,不过linux系统仅仅是认证是不够的,认证只能确运维工程师有前途吗访问者没有问题,那么访问者有什么权限呢?他能访问哪些东西呢?这时候我们就需要授权了。在k8s中的授权模式采用的是RBAC,即:基于角色的访问控制,分为以下三种类型来进行:


                                            k8s系列-04-k8s的认证、授权和准入控制

我们先说用户吧,用户在这里分为普通用户(User)比如我们上面说的kube客户端下载安装ctl,以及程序内部的用户(serviceaccept)比如pod:

剩余内容请转至VX公众号 “运维家” ,回复 “11系统运维工作内容2” 查看。