很长一段时间以来,我一直很困惑kubectl的用户是如何被授权的。我从头开始引导k8s集群,并使用'RBAC'作为授权模式。使用的用户kubectl首先通过证书进行身份验证,然后在访问api-server时由RBAC授权。我没有做任何关于授予用户权限的事情,但是,它允许访问所有api(创建pod或列表pod)。
答案 0 :(得分:0)
Kubernetes没有内置的用户管理系统。它希望您自己实现该部分。从这个意义上讲,实现用户身份验证的一种常用方法是创建证书签名请求,并由群集证书颁发机构对其进行签名。通过读取新生成的证书,群集将提取用户名及其所属的组。然后,在此之后,它将应用您实施的RBAC策略。从这个意义上说,如果用户可以访问所有内容,那么它可以是以下之一:
本指南可以帮助您在Kubernetes中提供一个简单的用户身份验证示例:https://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/