k8认证机制

参考下面博文

http://www.mamicode.com/info-detail-2270627.html

 

需要补充：

k8s的的认证机制场景使用

客户端证书认证

        采用双向证书进行认证，如api-server何etcd的通信

引导Token

       当我们有非常多的node节点时，手动为每个node节点配置TLS认证比较麻烦，这时就可以用到引导token的认证方式，前提是需要在api-server开启 experimental-bootstrap-     token-auth 特性，客户端的token信息与预先定义的token匹配认证通过后，自动为node颁发证书。当然引导token是一种机制，可以用到各种场景中

Service Account Tokens 认证：

       1、主要用于pod里面的认证 ，创建一个pod，如果没有自定义rbac策略  会自动采用pod所在空间的default serviceaccount ，采用default secrets

           里面含有根证书，token信息等;如：

           [root@k8s-master prometheus]# kubectl get sa -n kube-public 

            NAME SECRETS AGE
            default 1 26d
           [root@k8s-master prometheus]# kubectl get secrets -n kube-public
           NAME TYPE DATA AGE
           default-token-kqwqm kubernetes.io/service-account-token 3 26d