我对如何保护kubernetes API以进行呼叫和访问感到有些不安,Kube-ui也可供所有人使用。 如何设置凭证以保护所有服务?
谢谢
答案 0 :(得分:6)
Kubernetes API支持多种形式的authentication:http基本身份验证,持票人令牌,客户端证书。启动apiserver时,可以使用命令行标志启用/禁用这些身份验证方法。
您还应该运行不安全端口只能由localhost访问的apiserver,以便通过网络的所有连接都使用https。通过让api客户端验证apiserver提供的TLS证书,他们可以验证连接是否已加密且不容易受到中间人攻击。
默认情况下,拥有访问者权限的任何人都拥有对群集的完全访问权限。您还可以配置更精细的authorization策略,这些策略在将来的Kubernetes版本中将变得更加灵活和可配置。