为什么kubectl不要求输入密码?

时间:2019-11-17 06:16:51

标签: kubernetes kubectl

为什么Kubectl不要求输入密码?

  • 我已经使用kubeadm在服务器上创建了一个kubernetes集群
  • 比我在本地计算机上安装kubectl
  • 并将服务器中/etc/kubernetes/admin.conf的内容复制到本地计算机上的〜/ .kube / config文件中。

现在我无需密码就可以使用kubectl从本地计算机访问我自己的集群吗?为什么会这样?

当我想通过ssh访问我的服务器时,我当然需要用户名/密码或允许的ssh密钥。为什么kubectl不要求我输入密码? 对我而言,这似乎并不安全。

1 个答案:

答案 0 :(得分:2)

Kubernetes支持定义为here的不同身份验证策略。

通常,Kubernetes集群使用client certificate authentication。如果您查看自己的~/.kube/config文件,则会看到类似以下内容的字段:

- name: kubernetes-admin
  user:
    client-certificate-data: <BASE64 ENCODED X509 CERTIFICATE>
    client-key-data:  <BASE64 ENCODED PRIVATE KEY FOR THE CERTIFICATE>

您可以看到kubernetes-admin用户具有客户端证书数据和密钥。群集的Certificate Authority (CA)信任此证书。

使用kubectl时,它将用户的client certificate data发送到您的集群,集群CA对其进行验证。如果客户端经过验证,则可以访问群集。

相关问题
最新问题