Kubernetes API — защита

Аутентификация

  • Из сертификата клиента
  • Из токена аутентификации, переданного в заголовке http
  • В результату обычной HTTP-аутентификации

Плагины аутентификации активируются при запуске API

Пользователи и группы

Плагин аутентификации возвращает имя пользователя и группу. Kubernetes использует информацию для верификации дальнейших действий

Пользователи могу быть:

  •  Реальные люди
  • Модули

Встроенные группы:

  •  system:unauthenticated  — где ни один плагин аутентификации не смог аутентифицировать клиента
  • system:authenticated — назначается тем кто прошел аутентификацию
  • system:serviceaccounts — охватывает все учетные записи ServiceAccount
  • system:serviceaccounts:<namespace> — все учетные записи ServiceAccount в определённом namespace

Учётные записи служб

Модули могут аутентифицироваться отправляя содержимое файла /var/run/secrets/kubernetes.io/serviceaccount/token.

Этот файл содержит токен аутентификации учётной записи ServiceAccount. Имана пользователей записи ServiceAccount формируются так:

system:serviceaccount:<namespace>:<имя учетной записи службы>

ServiceAccount

kubectl get sa

Создаются для каждого namespace

Можно указать имя учётной записи в манифесте модуля, если этого не сделать, будет использована учётная запись по умолчанию

K8S

Related Articles

0 Comment

Leave a Comment

Ваш адрес email не будет опубликован.