Kubernetes 用户有什么用?
What are Kubernetes Users for?
我现在正在研究Kubernetes,有一个关于Kubernetes Users的问题。我学会了如何创建用户以及如何按角色限制访问,但我应该什么时候使用它?例如,如果恶意用户(不是k8s用户,而是操作用户)侵入k8s服务器,他们可以轻松切换管理员(如果他们能看到.kube/config)。除此之外,如果一个用户切换了他或她的用户帐户而忘记切换回来,那么下一个进入的另一个人也可以使用第一个用户的帐户。怀疑是不是我理解错了k8s Users的用法,但是k8s为什么准备它好像没有文档。我假设用户仅用于在 pods 中执行某些操作,但如果是这样,用户和服务帐户之间有什么区别?
Kubernetes 对用户的概念非常松散。它知道身份验证是一回事,它的输出是一个名称,可能还有一些组和标签。但实际上它所做的一切都是将信息传递给授权插件,以决定是否允许给定的请求。 ServiceAccounts 是一种特定的对象类型,因为它们会为您生成一个由集群签名的 JWT,但没有特定的用户类型,它只存在于您的身份验证插件的上下文中。
我现在正在研究Kubernetes,有一个关于Kubernetes Users的问题。我学会了如何创建用户以及如何按角色限制访问,但我应该什么时候使用它?例如,如果恶意用户(不是k8s用户,而是操作用户)侵入k8s服务器,他们可以轻松切换管理员(如果他们能看到.kube/config)。除此之外,如果一个用户切换了他或她的用户帐户而忘记切换回来,那么下一个进入的另一个人也可以使用第一个用户的帐户。怀疑是不是我理解错了k8s Users的用法,但是k8s为什么准备它好像没有文档。我假设用户仅用于在 pods 中执行某些操作,但如果是这样,用户和服务帐户之间有什么区别?
Kubernetes 对用户的概念非常松散。它知道身份验证是一回事,它的输出是一个名称,可能还有一些组和标签。但实际上它所做的一切都是将信息传递给授权插件,以决定是否允许给定的请求。 ServiceAccounts 是一种特定的对象类型,因为它们会为您生成一个由集群签名的 JWT,但没有特定的用户类型,它只存在于您的身份验证插件的上下文中。