认证——授权——准入

插件的形式,通过一个插件即可

认证:

        1、token

        2、sso

授权:

        1、RBAC基于角色的访问许可控制

        2、webhook

准入控制:用来定义对应认证授权之后的控制

客户端请求API server的信息组成

        user:username,uid

        group:

        extra:

        API

        Requst path  (k8s的apiserver是分了组的)

                例/apis/apps/v1

                    /apis/apps/v1/namespaces/default/deployments/myapp-deploy/

或拆分为(HTTP request verb:

                   get, post, put, delete

         API request verb:

                  get,list,create, update, patch, watch, proxy, redirect,delete,deletecollection

        Resource:

        Subresource:

        Namespace

        API Group)

创建serviceaccount

用create创建

pod中指定serviceaccount

         

手动自定义集群配置文件

可以用ca签字自定义的证书

创建私钥

基于私钥生产证书有ca.crt来签署,生产证书签署请求

签署证书

查看k8s签署的私有证书内容

将以上配置的用户信息加入到k8s的集群配置文件中

设置上下文让haha这个用户能够访问集群

切换到此用户访问集群(提示没有权限)

 

指定集群配置文件的路径

kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://192.168.88.107:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true
 

添加用户

root账号下依然是

 

 

 

 

 

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐