先让我们重温两个英文单词：authentication（认证）、authorization(授权)。

今天的实验目标：
1）基于X509证书方式来完成authentication(认证)。
2）基于RBAC方式来完成authorization（授权）

环境说明：

操作步骤：

第1步：生成Private key文件：

执行：

 

查看一下生成的Private key文件：

第2步： 使用私钥生成csr请求文件：

查看csr文件：

第3步：对csr文件进行base 64编码：

 

第4步：在kubernetes中创建CSR。

把下面的代码中的XXX替换成上面的base64编码，然后执行：

cat <<EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1 kind: CertificateSigningRequest metadata:   name: myuser spec:   request: XXX   signerName: kubernetes.io/kube-apiserver-client   expirationSeconds: 86400  # one day   usages:   - client auth EOF

 如下图：

 查看csr对象，这时为Pending状态：

第5步：对CSR进行签证（Approve）

签完后，状态变成：Approved, Issued。

查看CSR对象的详细：

第6步：把证书导出到myuser.crt文件。

 

 第7步：使用私钥文件和证书文件在k8s中创建一个用户，名为：myuser。

查看一下新创建的用户：

 第8步：创建角色(Role)对象，名称：developer。

 查看一下新创建的角色：

 可以看到，这个developer角色具有default namespace的POD的create, get, list, update, delete权限。

第9步：权限绑定

把myuser用户与developer角色绑定在一起，这样myuser就具有了developer角色的权限。

查看绑定详情：

 

第10步：验证(1)

1）验证myuser用户的读权限。

 2) 验证myuser用户的create权限

 第12步：验证(2)

删除绑定后，这个用户就没有权限了，报:forbidden。

 

 第13步：验证(3)

把用户也删除了，则报“not exist”

扩展：

创建用户后，在conifg文件中有myuser用户信息，包括：client-certificate-data和client-key-data。

其中client-certificate-data也就是上面第3步的csr经base 64位后的编码数据，也就是第4步创建CSR对象的Rqeuest 字段。

 另外，从上图可以看到，context（kubernetes-admin@kubernetes）仍只有一个。