k8s 鉴权 授权 准入控制

1. 鉴权(Authentication)

  • 客户端要想访问K8s集群API Server,一般需要证书、Token或者用户名+密码;如果Pod访问,需要ServiceAccount
  • 三种客户端身份认证:
    • HTTPS 证书认证:基于CA证书签名的数字证书认证
    • HTTP Token认证:通过一个Token来识别用户
    • HTTP Base认证:用户名+密码的方式认证

2. 授权(Authorization)

  • K8s目前支持多种授权策略,目前企业主要使用RBAC完成授权工作。
  • RBAC根据API请求属性,决定允许还是拒绝。
  • 比较常见的授权维度:
    • user:用户名
    • group:用户分组
    • 资源,例如pod、deployment
    • 资源操作方法:get,list,create,update,patch,watch,delete
    • 命名空间
    • API组

3. 准入控制(Admission Control)

  • AdminssionControl实际上是一个准入控制器插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。
posted @ 2021-12-09 14:51  七月流星雨  阅读(199)  评论(0编辑  收藏  举报