了解Kubernetes Api Server如何验证kubectl管理员请求

时间:2018-07-19 22:29:45

标签: kubernetes kubeadm

我有一个用kubeadm创建的k8s集群。它的kube-apiserver具有以下配置:

spec:
  containers:
  - command:
    - kube-apiserver
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --insecure-port=0
    - --enable-bootstrap-token-auth=true
    - --requestheader-allowed-names=front-proxy-client
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --allow-privileged=true
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
    - --advertise-address=10.0.0.52
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --requestheader-username-headers=X-Remote-User
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    - --secure-port=6443
    - --authorization-mode=Node,RBAC
    - --etcd-servers=https://127.0.0.1:2379
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key

我试图了解如何对kubectl请求(以及生成的admin kubeconfig文件)进行身份验证/授权。

首先,kubeconfig文件中包含以下用户信息:

users:
- name: kubernetes-admin
  user:
    client-certificate-data: XXXX
    client-key-data: YYYY

我已经检查过此客户端证书是否颁发给组织系统:主管理员和通用名称kubernetes-admin。

授权部分很明显,有一个ClusterRoleBinding定义将cluster-admin角色分配给system:masters组。

我没有得到kubectl请求的身份验证方式(我在kube-apiserver配置中看不到任何身份验证配置),您能详细解释一下吗?

1 个答案:

答案 0 :(得分:0)

只需在kube-apiserver documentation中找到它:

  

-client-ca-file字符串如果设置,则任何提出由client-ca-file中的授权机构之一签名的请求客户端证书的请求都是   通过与该用户的CommonName相对应的身份进行身份验证   客户证书。

因此,如果提供了客户端证书的API请求由已配置的ca文件之一签名,则将通过身份验证。

相关问题
最新问题