1權(quán)限管理創(chuàng)建

權(quán)限管理創(chuàng)建目錄權(quán)限控制認(rèn)證方式授權(quán)2身份認(rèn)證權(quán)限控制認(rèn)證方式3權(quán)限控制是由APIServer來完成操作，并且權(quán)限的分配和控制是可以分成三種，分別是Authentication（身份認(rèn)證）、Authorization(授權(quán))、AdmissionControl(準(zhǔn)入控制)。身份認(rèn)證4當(dāng)客戶端向Kubernetes非只讀端口發(fā)起API請求時，Kubernetes通過三種方式來認(rèn)證用戶的合法性。kubernetes中，驗(yàn)證用戶是否有權(quán)限操作api的方式有三種：證書認(rèn)證，token認(rèn)證，基本信息認(rèn)證。身份認(rèn)證5證書認(rèn)證設(shè)置apiserver的啟動參數(shù)：--client_ca_file=SOMEFILE，這個被引用的文件中包含的驗(yàn)證client的證書，如果被驗(yàn)證通過，那么這個驗(yàn)證記錄中的主體對象將會作為請求的username。身份認(rèn)證6Token認(rèn)證設(shè)置apiserver的啟動參數(shù)：--token_auth_file=SOMEFILE。tokenfile的格式包含三列：token，username，userid。當(dāng)使用token作為驗(yàn)證方式時，在對apiserver的http請求中，增加一個Header字段：Authorization，將它的值設(shè)置為：BearerSOMETOKEN。身份認(rèn)證7基本信息認(rèn)證設(shè)置apiserver的啟動參數(shù)：--basic_auth_file=SOMEFILE，如果更改了文件中的密碼，只有重新啟動apiserver使其重新生效。其文件的基本格式包含三列：passwork，username，userid。當(dāng)使用此作為認(rèn)證方式時，在對apiserver的http請求中，增加一個Header字段：Authorization，將它的值設(shè)置為：BasicBASE64ENCODEDUSER:PASSWORD。授權(quán)8在Kubernetes中，認(rèn)證和授權(quán)是分開的，而且授權(quán)發(fā)生在認(rèn)證完成之后，認(rèn)證過程是檢驗(yàn)發(fā)起API請求的用戶是不是他所聲稱的那個人。而授權(quán)過程則判斷此用戶是否有執(zhí)行該API請求的權(quán)限，因此授權(quán)是以認(rèn)證的結(jié)果作為基礎(chǔ)的。授權(quán)9Kubernetes授權(quán)模塊應(yīng)用于所有對APIServer的HTTP訪問請求（只讀端口除外），訪問只讀端口不需要認(rèn)證和授權(quán)過程。APIServer啟動時默認(rèn)將authorization_mode設(shè)置為AlwaysAllow模式，即永遠(yuǎn)允許。授權(quán)10Kubernetes授權(quán)模塊檢查每個HTTP請求并提取請求上下文中的所需屬性（例如：user，resourcekind，namespace）與訪問控制規(guī)則進(jìn)行比較。任何一個API請求在被處理前都需要通過一個或多個訪問控制規(guī)則的驗(yàn)證。授權(quán)11目前Kubernetes支持并實(shí)現(xiàn)了以下的授權(quán)模式（authorization_mode），這些授權(quán)模式可以通過在apiserver啟動時傳入?yún)?shù)進(jìn)行選擇。--authorization_mode=AlwaysDeny--authorization_mode=AlwaysAllow--authorization_mode=ABAC授權(quán)12AlwaysDeny模式屏蔽所有的請求（一般用于測試）。AlwaysAllow模式允許所有請求，默認(rèn)apiserver啟動時采用的便是AlwaysAllow模式