Аутентификация
- Из сертификата клиента
- Из токена аутентификации, переданного в заголовке http
- В результату обычной HTTP-аутентификации
Плагины аутентификации активируются при запуске API
Пользователи и группы
Плагин аутентификации возвращает имя пользователя и группу. Kubernetes использует информацию для верификации дальнейших действий
Пользователи могу быть:
- Реальные люди
- Модули
Встроенные группы:
- system:unauthenticated — где ни один плагин аутентификации не смог аутентифицировать клиента
- system:authenticated — назначается тем кто прошел аутентификацию
- system:serviceaccounts — охватывает все учетные записи ServiceAccount
- system:serviceaccounts:<namespace> — все учетные записи ServiceAccount в определённом namespace
Учётные записи служб
Модули могут аутентифицироваться отправляя содержимое файла /var/run/secrets/kubernetes.io/serviceaccount/token.
Этот файл содержит токен аутентификации учётной записи ServiceAccount. Имана пользователей записи ServiceAccount формируются так:
system:serviceaccount:<namespace>:<имя учетной записи службы>
ServiceAccount
kubectl get sa
Создаются для каждого namespace
Можно указать имя учётной записи в манифесте модуля, если этого не сделать, будет использована учётная запись по умолчанию
0 Comment