47、k8s-安全认证-认证管理

kubernetes集群安全的最关键点在于如何识别并认证客户端的身份、它提供了三种客户端身份认证方式：
    ·HTTP Base认证：通过 用户名+密码的方式认证
        ··这种认证方式是把 用户名和密码 用Base64算法进行编码后的字符串放在http请求中的header Authorization域里发送给客户端、服务端收到后进行解码、来获取 用户名和密码、然后进行身份认证的过程
    ·HTTP Token认证：通过一个Token来识别合法用户
        ··这种认证方法使用一个很长的难以被模仿的字符串--Token来表明客户身份的一种方式、每个Token对应一个用户名、当客户端发起API调用申请时、需要在HTTP 的Header里头放入Token、API Server接到Token后会跟服务器中保存的token进行比对、然后进行过身份认证的过程
    ·HTTPS证书认证：基于CA根证书签名的双向数字证书认证的方式
        ··这种认证方式时安全性最高的一种方式、同时也是最复杂的方式、如下图

HTTPS认证大体分为3个过程：
1、证书申请和下发
    ·HTTPS通信双方的服务器向CA机构申请证书、CA机构下发根证书、服务端证书及私钥给申请者
2、 客户端和服务端的双向认证
    ·1>客户端向服务器端发起请求、服务端下发自己的证书给客户端、客户端接受到证书后、通过私钥解密证书、在证书中获得服务端的公钥、客户端利用服务器端的公钥认证证书中的信息、如果一致则认可这个服务器
    ·2> 客户端发送自己的证书给服务端、服务端接收到证书后、通过私钥解密证书、在证书中获得客户端公钥、并用该公钥认证证书信息、确认客户端时否合法
3、服务端和客户端进行通信：
    ·服务器端和客户端协商好加密方案后、客户端会产生一个随机的密钥并加密、然后发送到服务器端、服务器端接收到这个密钥后、双方接下来通信的所有内容都通过该随机密钥进行加密

 

注意：kubernetes可以同时配置三种认证方式、但是认证时只要通过其中一种认证就行了