kubernetes kube-apiserver源码阅读4之鉴权
💡
原文中文,约14600字,阅读约需35分钟。
📝
内容提要
介绍了Kubernetes中default ServiceAccount的权限和鉴权逻辑,default ServiceAccount属于两个用户组,具有get所有资源的权限,鉴权逻辑委托给authorizationRuleResolver匹配用户组,匹配规则后允许访问。
🎯
关键要点
- default ServiceAccount属于两个用户组,具有get所有资源的权限。
- Kubernetes支持六种鉴权模式,常用的是Node和RBAC。
- 默认情况下,如果没有指定授权,所有请求都被允许。
- Node模式使用证书认证,kubelet的用户名和用户组为system:node:node1和system:nodes。
- RBAC模式通过用户名和角色来进行权限控制。
- default ServiceAccount的用户信息包括名称和用户组。
- default ServiceAccount通过ClusterRoleBinding和ClusterRole获得权限。
- RBAC鉴权逻辑通过匹配用户组和角色来决定是否允许访问。
- 没有指定资源名的情况下,RBAC允许所有资源名的访问。
🏷️
标签
➡️
