建网站后如何维护,视频内容seo,谷歌google play官网,校园网站建设的缺陷Kubernetes的认证授权分为认证#xff08;鉴定用户身份#xff09;、授权#xff08;操作权限许可鉴别#xff09;、准入控制#xff08;资源对象操作时实现更精细的许可检查#xff09;三个阶段。
Authentication#xff08;认证#xff09;
认证方式现共有8种… Kubernetes的认证授权分为认证鉴定用户身份、授权操作权限许可鉴别、准入控制资源对象操作时实现更精细的许可检查三个阶段。
Authentication认证
认证方式现共有8种可以启用一种或多种认证方式只要有一种认证方式通过就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式 。
Kubernetes集群有两类用户由Kubernetes管理的Service Accounts 服务账户和 Users Accounts 普通账户。k8s中账号的概念不是我们理解的账号它并不真的存在 它只是形式上存在。
Authorization授权
必须经过认证阶段才到授权请求根据所有授权策略匹配请求资源属性决定允许或拒 绝请求。授权方式现共有6种AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、 Node。默认集群强制开启RBAC。
Admission Control准入控制
用于拦截请求的一种方式运行在认证、授权之后是权限认证链上的最后一环对请求 API资源对象进行修改和校验。 UserAccount与serviceaccount
1用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
2用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的未来的用户资源不 会做 namespace 隔离 服务账户是 namespace 隔离的。
3通常情况下集群的用户账户可能会从企业数据库进行同步其创建需要特殊权限并且涉 及到复杂的业务流程。 服务账户创建的目的是为了更轻量允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。 认证
切换用户 由于默认用户没有任何权限无法访问需要进行授权
切回admin RBACRole Based Access Control基于角色访问控制授权。允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联RBAC只有授权没有拒绝授权所以只需要定义允许该用户做什么即可
RBAC包括四种类型Role、ClusterRole、RoleBinding、ClusterRoleBinding。 控制器的概念
组的概念
切回到admin 回收
