机制说明
认证
HTTPS认证
需要认证的节点
查看pod中serviceAccount demo
总结
pod使用Service Account 调用API Server
k8s组件 使用证书 调用API Server
鉴权
常用的RBAC角色访问控制
RBAC API资源对象说明
ROLE和ClusterRole
Role
ClusterRole
RoleBinding和ClusterRoleBinding
RoleBinding
ClusterRoleBinding
Resource
Subject
Demo演示
- 在宿主机上面创建devuser用户
- 在/usr/local/install-k8s 目录下面创建/cert/devusr/devuser-csr.json文件
- 将json内容复制到新增json文件中
- 下载证书生成工具
- 将工具放入/usr/local/bin目录下并且可执行
- 使用cfssl生成证书
- 查看到证书生成成功
- 设置KUBE_APISERVER变量
- 使用kubectl config 指定集群ca证书以及api server生成devuser.kubeconfig文件,设置集群参数
- 设置客户端认证参数
- 再次查看devuser.kubeconfig文件,查看到多了客户端证书和私钥信息
- 创建dev名称空间
- 设置上下文
- 再次查看devuser.kubeconfig文件,查看到绑定了如下信息13
- 创建rolebinding
- 将devuser.kubeconfig 文件copy到devuser用户下的.kube目录下并且赋予用户和用户组
- 使用devuser登录查看pod默认就是namespace为dev下的pod,default namespace下的pod没有权限查看
准入控制
