k8s 鉴权 授权 准入控制

1. 鉴权（Authentication）

• 客户端要想访问K8s集群API Server，一般需要证书、Token或者用户名+密码；如果Pod访问，需要ServiceAccount
• 三种客户端身份认证：
  • HTTPS 证书认证：基于CA证书签名的数字证书认证
  • HTTP Token认证：通过一个Token来识别用户
  • HTTP Base认证：用户名+密码的方式认证

2. 授权（Authorization）

• K8s目前支持多种授权策略，目前企业主要使用RBAC完成授权工作。
• RBAC根据API请求属性，决定允许还是拒绝。
• 比较常见的授权维度：
  • user：用户名
  • group：用户分组
  • 资源，例如pod、deployment
  • 资源操作方法：get，list，create，update，patch，watch，delete
  • 命名空间
  • API组

3. 准入控制（Admission Control）

• AdminssionControl实际上是一个准入控制器插件列表，发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查，检查不通过，则拒绝请求。