了解 Kubernetes Api 服务器如何验证 kubectl 管理请求
Understanding how Kubernetes Api Server authenticates kubectl admin requests
我有一个用 kubeadm 创建的 k8s 集群。它的 kube-apiserver 具有以下配置:
spec:
containers:
- command:
- kube-apiserver
- --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
- --insecure-port=0
- --enable-bootstrap-token-auth=true
- --requestheader-allowed-names=front-proxy-client
- --client-ca-file=/etc/kubernetes/pki/ca.crt
- --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
- --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
- --allow-privileged=true
- --requestheader-group-headers=X-Remote-Group
- --requestheader-extra-headers-prefix=X-Remote-Extra-
- --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
- --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
- --advertise-address=10.0.0.52
- --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
- --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
- --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
- --requestheader-username-headers=X-Remote-User
- --service-cluster-ip-range=10.96.0.0/12
- --service-account-key-file=/etc/kubernetes/pki/sa.pub
- --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
- --secure-port=6443
- --authorization-mode=Node,RBAC
- --etcd-servers=https://127.0.0.1:2379
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
- --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
- --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
我想了解 kubectl 请求(使用生成的管理 kubeconfig 文件)是如何 authenticated/authorized。
首先,kubeconfig 文件中有这样的用户信息:
users:
- name: kubernetes-admin
user:
client-certificate-data: XXXX
client-key-data: YYYY
我已检查此客户端证书颁发给组织 system:masters 和通用名称 kubernetes-admin。
authorization 部分比较清楚,有一个 ClusterRoleBinding 定义将 cluster-admin 角色分配给 system:masters 组。
我不明白kubectl请求是如何认证的(我在kube-apiserver配置中没有看到任何认证配置),你能详细解释一下吗?
刚刚在 kube-apiserver documentation 中找到这个:
--client-ca-file string If set, any request presenting a client certificate signed by one of the authorities in the client-ca-file is
authenticated with an identity corresponding to the CommonName of the
client certificate.
因此 API 如果提供客户端证书的请求由其中一个已配置的 ca 文件签名,则它们将通过身份验证。
我有一个用 kubeadm 创建的 k8s 集群。它的 kube-apiserver 具有以下配置:
spec:
containers:
- command:
- kube-apiserver
- --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
- --insecure-port=0
- --enable-bootstrap-token-auth=true
- --requestheader-allowed-names=front-proxy-client
- --client-ca-file=/etc/kubernetes/pki/ca.crt
- --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
- --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
- --allow-privileged=true
- --requestheader-group-headers=X-Remote-Group
- --requestheader-extra-headers-prefix=X-Remote-Extra-
- --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
- --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
- --advertise-address=10.0.0.52
- --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
- --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
- --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
- --requestheader-username-headers=X-Remote-User
- --service-cluster-ip-range=10.96.0.0/12
- --service-account-key-file=/etc/kubernetes/pki/sa.pub
- --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
- --secure-port=6443
- --authorization-mode=Node,RBAC
- --etcd-servers=https://127.0.0.1:2379
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
- --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
- --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
我想了解 kubectl 请求(使用生成的管理 kubeconfig 文件)是如何 authenticated/authorized。
首先,kubeconfig 文件中有这样的用户信息:
users:
- name: kubernetes-admin
user:
client-certificate-data: XXXX
client-key-data: YYYY
我已检查此客户端证书颁发给组织 system:masters 和通用名称 kubernetes-admin。
authorization 部分比较清楚,有一个 ClusterRoleBinding 定义将 cluster-admin 角色分配给 system:masters 组。
我不明白kubectl请求是如何认证的(我在kube-apiserver配置中没有看到任何认证配置),你能详细解释一下吗?
刚刚在 kube-apiserver documentation 中找到这个:
--client-ca-file string If set, any request presenting a client certificate signed by one of the authorities in the client-ca-file is authenticated with an identity corresponding to the CommonName of the client certificate.
因此 API 如果提供客户端证书的请求由其中一个已配置的 ca 文件签名,则它们将通过身份验证。