网络

认证

ssl/tls

1.客户端证书认证 （TLS双向认证）

CA #证书认证
2.bearerToken
3.ServiceAccount （namespace,token,ca）内部pod容器-apiserver\

授权

ABAC

WebHook

RBAC (role based access control)

User

• common user

• serviceaccount

role

• name resource verbs

1. 在namespace 下面
2. clusterrole clusterrolebinding

authority 权限

• resource

• verbs: list create update delete

RoleBinding

AdmisionControl 类似filter

alwaysAdmit
alwaysDeny
serviceAccount
denyEscolationExec

ifconfig

ip addr





#查看网络的命名空间  net namespace
ip netns list
#添加网络命名空间
ip netns add b1

#查看情况
ip netns exec b1 ip a


# 查看网络设备 网卡
ip link

#创建一对网卡
ip link add veth-b1 type veth peer name veth-b2

#将网卡加入网络命名空间
ip link set veth-b1 netns b1

#指定ip
ip netns exec b1 ip addr add 192.168.10.1/24 dev veth-b1
ip netns exec b2 ip addr add 192.168.10.1/24 dev veth-b2


# device up
ip netns exec b1 ip link set dev veth-b1 up

ip netns exec b1 ping 192.168.10.2

docker

docker network ls

#查看具体网络信息
docker network inspect

docker network create -d bridge bridge_name

docker network connect brigde_name container

#查看桥接网络情况
brctl show

#网络地址转换      iptable 路由转发
NAT

eth0

多机通信

VXLAN 网络隧道

overlay 
underlay

api-server

kubectl get roles -all-namespace=true
kubectl get clusterroles 
kubectrl config current-context

s