美文网首页实践人生
k8s 认证和权限控制

k8s 认证和权限控制

作者: 阿兵云原生 | 来源:发表于2023-08-16 22:42 被阅读0次

    k8s 的认证机制是啥?

    说到 k8s 的认证机制,其实之前咋那么也有提到过 ServiceAccouont以及相应的 token ,证书 crt,和基于 HTTP 的认证等等

    k8s 会使用如上几种方式来获取客户端身份信息,不限于上面几种

    前面有说到 ApiServer 收到请求后,会去校验客户端是否有权限访问,ApiServer 会去自身的认证插件中进行处理认证,进而到授权插件中进行授权,例如这样的:

    [图片上传失败...(image-23674f-1692283226868)]

    ServiceAccount 相当重要,之前我们说到过访问 pod 元数据的时候,就提到过 ServiceAccount,以及相应的挂载文件:

    • /var/run/secrets/kubernetes.io/serviceaccount/token
    • /var/run/secrets/kubernetes.io/serviceaccount/namespace
    • /var/run/secrets/kubernetes.io/serviceaccount/ca.crt

    [图片上传失败...(image-a0b061-1692283226869)]

    pod 就是通过发送上述的 token 文件来进行身份认证的,这是代表了运行的 pod 中的应用程序的身份证明,每一个 pod 都是会有一个 ServiceAccoount 与之关联的

    我们可以理解 ServiceAccoount 不是什么也别的东西,也是 k8s 的其中一种资源而已,咱们可以写 yaml 创建该 资源,当然也是可以通过命令来创建 sa 资源的, sa 是 ServiceAccoount 的缩写

    例如,我们可以通过命令 kubectl get sa 来查看 ServiceAccoount

    [图片上传失败...(image-3eb6a5-1692283226869)]

    一个 pod 只会对应一个 SA,但是 一个 SA 是可以和多个 pod 关联的,并且,我们需要清楚,这些都是得再同一个命名空间下的,例如画一个简图来是表示一下

    [图片上传失败...(image-f20fea-1692283226869)]

    我们可以看到,同一个命名空间中

    • 一个 SA 可以对应多个 pod
    • 一个 ns (namespace) 中可以有多个 ServiceAccount
    • 一个 pod 只能关联 一个 ServiceAccount

    再来看看这个:

    [图片上传失败...(image-3b6a39-1692283226869)]

    绝对不会存在 ns 4 的 pod ,会关联到 ns 3 的 ServiceAccount, 不在同一个命名空间,根本无法操作

    自行创建一个 SA

    kubectl create sa xmt

    创建一个 SA 名为 xmt

    [图片上传失败...(image-49c094-1692283226869)]

    查看上述 xmt SA 的信息,k8s 默认给我们 xmt 账户生成了 tokensecrets

    我们可以查看 secrets 的内容

    [图片上传失败...(image-5e3230-1692283226869)]

    我们可以通过在线的 jwt 解码工具来查看这个 secrets,他是一个 JWT 编码的信息

    https://tooltt.com/jwt-decode/

    [图片上传失败...(image-14d1a-1692283226869)]

    我们解码后,可以看到具体的信息

    {
    "iss": "kubernetes/serviceaccount",
    "kubernetes.io/serviceaccount/namespace": "default",
    "kubernetes.io/serviceaccount/secret.name": "xmt-token-kbv8b",
    "kubernetes.io/serviceaccount/service-account.name": "xmt",
    "kubernetes.io/serviceaccount/service-account.uid": "587fbca5-f20c-4421-a3fd-db21b76c7ac6",
    "sub": "system:serviceaccount:default:xmt"
}

    通过上述 secrets 可以得到 namespace,secret.name,service-account.name,service-account.uid 等信息 ,这个 uid 是唯一的

    创建 pod 指定 SA

    我们可以查看任意一个 pod 的详情,也可以看到配置里面有 ServiceName

    [图片上传失败...(image-d9de85-1692283226869)]

    今天就到这里,学习所得,若有偏差,还请斧正

    欢迎点赞,关注,收藏

    朋友们,你的支持和鼓励,是我坚持分享,提高质量的动力

    [图片上传失败...(image-666d41-1692283226869)]

    好了,本次就到这里

    技术是开放的,我们的心态,更应是开放的。拥抱变化,向阳而生,努力向前行。

    我是阿兵云原生,欢迎点赞关注收藏,下次见~

    相关文章

      网友评论

        本文标题:k8s 认证和权限控制

        本文链接:https://www.haomeiwen.com/subject/hvjlmdtx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        实践人生

        关于我们|服务条款|联系我们|k8s 认证和权限控制|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!