Kubernetes集群的認(rèn)證和角色控制機(jī)制

APIServer的HPPTS訪(fǎng)問(wèn)需要經(jīng)過(guò)三個(gè)步驟，前兩個(gè)是認(rèn)證和授權(quán)，最后為Admission Control，后者可以在資源管理方面提高安全性。Kubernetes集群提供了多種認(rèn)證方式，包括客戶(hù)端證書(shū)、靜態(tài)Token、靜態(tài)密碼文件、ServiceAccountToken等，可以同時(shí)使用一種或多種認(rèn)證方式，只要通過(guò)其中一種即可認(rèn)為認(rèn)證成功。

在Kubernetes 1.6版本中增加了角色訪(fǎng)問(wèn)控制機(jī)制（RBAC），讓集群管理員可以針對(duì)特定使用者或服務(wù)賬號(hào)的角色進(jìn)行更精準(zhǔn)的資源訪(fǎng)問(wèn)控制。在RBAC中權(quán)限和角色相關(guān)聯(lián)，即用戶(hù)成為角色的成員后，就可以擁有該角色的權(quán)限，這大大簡(jiǎn)化了權(quán)限的管理。

Kubernetes 的AdmissionControl可以實(shí)現(xiàn)準(zhǔn)入控制功能，AdmissionControl常用組件包括“AlwaysAdmit”（允許所有請(qǐng)求）、“AlwaysDeny”（禁止所有請(qǐng)求）、“ServiceAccount”（對(duì)服務(wù)賬戶(hù)進(jìn)行自動(dòng)化操作，輔助服務(wù)賬號(hào)做一些事情）、“LimitRanger”（觀(guān) 察所有請(qǐng)求，確保沒(méi)有違反已定義的約束條件）等。AdmissionControl是一系列的小組件的集合。