访问k8s集群的时候,需要经过三个步骤完成具体操作
1 认证
传输安全:对外不暴露8080端口,只能内部访问,对外使用6443端口,客户端认证常用方式:
- https证书认证,基于CA证书
- http token认证,通过token识别用户
- http基本认证,用户名+密码认证
2 鉴权
- 基于RBAC进行鉴权操作
- 基于角色访问控制
3 准入控制
- 就是准入控制器的列表,如果列表中有请求内容则通过,没有则拒绝
访问过程中,都需要经过apiserver,apiserver做统一协调。同时需要证书,token或者用户名+密码
如果访问pod则需要serviceAccount
1 创建命名空间
kubectl create ns roledemo
2 在新创建的命名空间下创建pod
kubectl run nginx --image=nginx -n roledemo
3 创建角色
- 编写yaml文件
该角色对pod有get、watch、list权限 - 创建并查看角色
4 创建角色绑定
- 编写yaml文件
- 创建并查看角色绑定
5 通过证书识别身份
