Kubernetes APIServer 几种基本认证方式

原创

已于 2024-07-10 13:49:00 修改 · 2.4k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes

于 2024-07-10 11:31:55 首次发布

"认证"，形象地理解就是"你是谁"。在上文中，用户A在发起API请求时，管理员如何道该请求是用户A发起的呢？所以，客户端在发起API请求时，必须要携带一个身份信息来表明"我是谁"，Apiserver在收到请求后，需要对这个身份信息进行认证（“不是你说你是谁，你就是谁，而是我核实你是谁，你才是谁”）

在认证与授权中，有两个重要的概念：用户（USER）与用户组（GROUP）。客户端携带的身份凭证，最终会被apiserver认证为USER与GROUP。

接下来，我们介绍几种常见的认证方式。

X509客户证书

该认证方式下，客户端发起请求时需要携带一个证书，表明自已的身份。该证书必须是由apiserver的启动参数--client-ca-file指定的CA所签发（即能够被该参数指定的CA证书文件所验证）。如果apiserver验证客户端所携带的客户证书是client-ca-file签发的，那么认证通过。

[root@k8s-uat-m01 ~]# cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep ca
    - --client-ca-file=/etc/kubernetes/pki/ca.crt

在客户证书文件中，会包含域名/CN

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

富士康质检员张全蛋

关注关注

3
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Kubernetes组件_APIServer_证书_02_K8S内部交互架构和所有证书

毛毛的专栏

03-12

2950

所有证书作用

Kubernetes APIServer身份认证

峰迹的博客

04-19

1322

集群内外的每个进程在向 API 服务器发起请求时都必须通过身份认证，否则会被视作匿名用户。所有 Kubernetes 集群都有两类用户：由 Kubernetes 管理的和。有鉴于此，。普通用户的信息无法通过 API 调用添加到集群中。是 Kubernetes API 所管理的用户。它们被绑定到特定的名字空间，或者由 API 服务器自动创建，或者通过 API 调用创建。服务账号与一组以 Secret 保存的凭据相关，这些凭据会被挂载到 Pod 中，从而允许集群内的进程访问 Kubernetes API。

参与评论您还未登录，请先登录后发表或查看评论

Kubernetes组件_APIServer_证书_03_四个静态Pod Yaml文件解析

毛毛的专栏

06-04

2010

四个静态Pod Yaml文件解析

k8s的ca以及相关证书签发流程

李姓门徒

04-08

1772

对于网站类的应用，网站管理员需要向权威证书签发机构（CA）申请证书，这通常需要花费一定的费用，也有非营利的证书签发机构，比如”Let's Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲，它通常部署在企业内部，其管理面组件不需要暴露到公网，所以就不需要向外部的证书签发机构申请证书，系统管理员就可以自已签发证书供内部使用。本文通过介绍部分内部组件的ca证书签发流程，引导相关的证书签发过程。

K8S Api Server认证

tianmaxingkonger的专栏

01-17

325

但是，在前面的两种认证方式中，如果我们要在外部通过https的方式访问dashboard，则无法办到，除非对外开启apiserver非安全认证的8080端口，这显然不是我们想看到的。从上面各种认证访问apiserver的过程中，不难看出，一旦使用了认证，kubectl的用法就会需要带上需多参数，变的非常复杂。HTTP Token认证和Http Basic认证是相对简单的认证方式，Kubernetes的各组件与Api Server的通信方式仍然是HTTPS，但不再使用CA数字证书。

[Kubernetes] API Server简介

959

04-27

1347

API Server简介

Kubernetes_APIServer_APIServer简介

毛毛的专栏

03-26

4913

api server 是 Kubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API，执行所有 API 操作，并负责将 API 对象存储到持久存储后端。

Kubernetes--API Server

GaoChuang_的博客

11-06

1475

一、Kubernetes API Server功能 Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、RC、Server等)的增、删、改、查及watch等HTTP REST接口，成为集群内各个功能模块之间数据交互和通信中心枢纽，是整个系统的数据总线和数据中心。除此之外，它还是集群管理的API入口，是资源配额控制的入口，提供了完备的集群安全机制。二、Kubernetes API Server核心原理通过curl 命令访问 API...

Kubernetes API Server 认证机制

小楼一夜听春雨，深巷明朝卖杏花

07-11

1879

开启 TLS时，所有的请求都需要首先认证。Kubernetes支持多种认证机制，并支持同时开启多个认证插件（只要有一个认证通过即可）。如果认证成功，则用户的 username 会传入授权模块做进一步授权验证;而对于认证失败的请求则返回 HTTP 401。当apiserver启动的时候，其实有两个和安全相关的配置，一个叫insecure-port，一个叫secure-port，早期大家很习惯的将insecure-port打开，经过insecure-port端口所有的请求其实是没有做任何的安全校验的，也就是认证

k8s-18-api-server更换证书

weixin_33882452的博客

10-27

1134

1 目前证书是信任三个master ip地址在加一个[root@k8s-masterseversslbak]#cfssl-certinfo-certserver.pem { "subject":{ "common_name":"kubernetes", "country":"CN", "organization":"k8s", ...

kubenetes无法启动，检查后发现api-server证书失效

shelutai的博客

06-26

1077

此时所有证书都已重新生成，在 /etc/kubernetes/pki 下。/etc/kubernetes/admin.conf、/etc/kubernetes/controller-manager.conf、/etc/kubernetes/scheduler.conf 也已经更新了。先用docker ps -a 查看最近docker容器是否正常运行，发现api-server的容器刚刚退出。复制/etc/kubernetes/admin.conf 到~/.kube/config。查看证书命令下有哪些功能。

Kubernetes(k8s)-证书介绍

最新发布

03-25

746

目前的版本默认走的都是6443的https协议，而且这个和我们常见的https协议不一样，普通的https协议是服务端配置证书，客户端不需要做任何配置。但是在Kubernetes里面这里的https走的是双向证书，简单来说就是客户端也必须带上自己证书，并且这个证书还是有权限控制的，然后才能请求服务端。

客户端证书访问 Kubernetes api

ahwxl的专栏

10-04

387

jenkins 构建、部署服务到kubernate集群shell脚本

k8s流控平台apiserver详解

m0_51586984的博客

06-28

2326

panic处理，不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群，开始做数据传输是http协议，header过来的时候加一点信息，集群联邦过来的时候改一点信息max-in-flight：做限流的，多少在路上，上限是多少，是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象，是的话，判断不是的话json做反序列化为go的对象做conversion。

Kubernetes集群安全：Api Server认证

全栈工程师开发手册（原创）https://github.com/tencentmusic/cube-studio

11-11

3603

Kubernetes提供了三种级别的客户端认证方式： HTTPS证书认证，是基于CA根证书签名的双向数字证书认证方式，是最严格的认证 HTTP Token认证，通过Token识别每个合法的用户 HTTP Basic认证 HTTP Token认证和Http Basic认证是相对简单的认证方式，Kubernetes的各组件与Api Server的通信方式仍然是HTTPS，但不再使用CA数字证书。 ...

1、Kubernetes apiserver认证

码农崛起

06-06

1254

https://www.jianshu.com/p/97a3e7060f4chttps://www.cnblogs.com/netonline/p/8710481.htmlkubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作，kubectl命令最终也是调用的apiserver，如果想要获取对apiserver进行操作，需要先通过其认证api-server的认证...

K8S学习之基础三十：k8s的资源访问方式

云上艺旅的博客

03-14

817

SA包括了ns、token、ca，且通过目录挂载的方式给予pod，当pod运行起来，就会读到这些信息，从而使用该方式也apiserver进行通信。 1、客户端认证：双向TLS认证，kubectl 在访问apiserver的时候，apiserver也需要认证kubectl是否合法，都会通过ca根证书进行验证。认证通过后进代表是一个apiserver信任的用户，能访问apiserver，但是如果要有操作集群的权限，还要进行授权操作，常见的授权方式有rbac授权。 3、ServerAccount方式，

Kubernetes 证书详解(鉴权)

qq_37091832的博客

05-28

587

Kubernetes 证书鉴权详解，了解 Kubernetes 证书不仅仅只有 TLS 认证的功能~

kubernetes认证

01-16

除了传统的基于 SSL/TLS 客户端证书外，Token-based authentication 是另一种常见的做法，在这种情况下，API Server 可配置为接受特定类型的 token 来代替复杂的双向 TLS 握手流程。这类 tokens 往往具有较短的有效...