k8认证机制
参考下面博文
http://www.mamicode.com/info-detail-2270627.html
需要补充:
k8s的的认证机制场景使用
客户端证书认证
采用双向证书进行认证,如api-server何etcd的通信
引导Token
当我们有非常多的node节点时,手动为每个node节点配置TLS认证比较麻烦,这时就可以用到引导token的认证方式,前提是需要在api-server开启 experimental-bootstrap- token-auth 特性,客户端的token信息与预先定义的token匹配认证通过后,自动为node颁发证书。当然引导token是一种机制,可以用到各种场景中
Service Account Tokens 认证:
1、主要用于pod里面的认证 ,创建一个pod,如果没有自定义rbac策略 会自动采用pod所在空间的default serviceaccount ,采用default secrets
里面含有根证书,token信息等;如:
[root@k8s-master prometheus]# kubectl get sa -n kube-public
NAME SECRETS AGE
default 1 26d
[root@k8s-master prometheus]# kubectl get secrets -n kube-public
NAME TYPE DATA AGE
default-token-kqwqm kubernetes.io/service-account-token 3 26d