K8S的资源访问方式
k8s主要通过APIserver对外提供服务,需要对访问apiserver的用户做认证。
认证通过后进代表是一个apiserver信任的用户,能访问apiserver,但是如果要有操作集群的权限,还要进行授权操作,常见的授权方式有rbac授权
用户经过认证和授权之后,最后一步就是准入控制了。比如创建pod,还要根据资源限制是否满足等条件限制才能成功。
k8s客户端访问apiserver的集中认证方式
1、客户端认证:双向TLS认证,kubectl 在访问apiserver的时候,apiserver也需要认证kubectl是否合法,都会通过ca根证书进行验证。
2、Bearertoken 方式,apiserver将一个密码通过非对称加密的方式告诉了kubectl,然后通过该密码进行相互访问
kubectl访问k8s集群,要找一个kubeconfig文件,基于文件里的用户访问apiserver
3、ServerAccount方式,
SA是内部访问pod和apiserver交互时候采用的一种方式。SA包括了ns、token、ca,且通过目录挂载的方式给予pod,当pod运行起来,就会读到这些信息,从而使用该方式也apiserver进行通信
kubeconfig文件
kubectl config view
apiVersion: v1
clusters: # 集群信息
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://172.16.80.131:6443 # apiserver
name: kubernetes
contexts:
- context: # 上下文信息
cluster: kubernetes # 集群
user: kubernetes-admin # 访问集群的用户
name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes # 当前上下文,当前环境
kind: Config # config资源类型
preferences: {}
users:
- name: kubernetes-admin # 管理员用户
user:
client-certificate-data: DATA+OMITTED # 根证书ca签发证书
client-key-data: DATA+OMITTED # 根证书ca签发私钥
kubectl默认会去 /root/.kube下找config文件,也可以手工指定路径
kubectl get pods --kubeconfig=/root/.kube/config
[root@mast01 secret]# kubectl get pods --kubeconfig=/root/.kube/config
NAME READY STATUS RESTARTS AGE
nfs-provisioner-7559c6b4fc-nbmb6 1/1 Running 4 (159m ago) 23h
pod-secret 0/1 Completed 0 22h