如何从另一个Pod认证Pod?我看到我可以使用服务帐户向api服务器进行身份验证,但是如果我想在调用另一个Pod时利用相同的身份验证过程怎么办?
我希望能够安全地识别哪个Pod正在呼叫另一个Pod。
答案 0 :(得分:0)
您使用的是TokenReview API。您可以从一个吊舱中获取ServiceAccount令牌,然后将其发送到另一个吊舱。然后,他们将启动TokenReview以验证JWT。如果提取签名密钥的公共部分,则也可以使用它直接验证JWT签名(具体细节取决于您部署和管理k8的方式)。如评论中所述,大多数服务网格工具也通常通过TLS提供此功能。