k8s的认证方式

原创

清风辞意 2024-04-15 17:20:58 ©著作权

©著作权归作者所有：来自51CTO博客作者清风辞意的原创作品，请联系作者获取转载授权，否则将追究法律责任

# 详解K8S的认证方式

## 一、认证方式概述

Kubernetes（简称K8S）作为一个开源的容器管理平台，提供了多种认证方式来确保集群的安全性。在K8S中，有三种主要的认证方式，分别是基于Token的认证、基于证书的认证和基于OpenID Connect的认证。本文将重点介绍这三种认证方式的使用方法。

## 二、认证流程

下表展示了K8S认证的基本流程：

| 步骤 | 描述 |
| --- | --- |
| 1 | 用户请求API Server |
| 2 | API Server 根据请求的认证方式验证用户身份 |
| 3 | API Server 根据RBAC授权策略授予用户权限 |

## 三、基于Token的认证方式

### 步骤一：生成Token

```bash
$ echo -n 'admin:admin' | base64
# 输出：YWRtaW46YWRtaW4=
```

### 步骤二：创建Service Account

```yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: my-service-account
```

### 步骤三：创建RoleBinding

```yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: my-role-binding
subjects:
- kind: ServiceAccount
name: my-service-account
roleRef:
kind: ClusterRole
name: admin
apiGroup: rbac.authorization.k8s.io
```

### 步骤四：使用Token访问API Server

```bash
$ kubectl get pod --token=YWRtaW46YWRtaW4=
```

## 四、基于证书的认证方式

### 步骤一：生成证书

```bash
$ openssl genrsa -out user.key 2048
$ openssl req -new -key user.key -out user.csr -subj "/CN=user"
$ openssl x509 -req -in user.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out user.crt -days 500
```

### 步骤二：创建用户配置文件

```yaml
apiVersion: v1
kind: Config
clusters:
- cluster:
certificate-authority: ca.pem
server: https://k8s-api-server:6443
name: my-cluster
users:
- name: my-user
user:
client-certificate: user.crt
client-key: user.key
contexts:
- context:
cluster: my-cluster
user: my-user
name: my-context
current-context: my-context
```

### 步骤三：使用证书访问API Server

```bash
$ kubectl get pod --kubeconfig=config.yaml
```

## 五、基于OpenID Connect的认证方式

### 步骤一：配置API Server

```yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: oidc-config
data:
oidc-config.yaml: |-
oidc-issuer-url: https://accounts.google.com
client-id: MY_CLIENT_ID
username-claim: email
groups-claim: groups
```

### 步骤二：重启API Server

```bash
$ kubectl delete pod -n kube-system `kubectl get pods -n kube-system -l component=kube-apiserver -o name`
```

### 步骤三：使用OpenID Connect登录

```bash
$ kubectl get pod --token=OIDC_TOKEN
```

通过以上步骤，我们可以实现Kubernetes集群的安全认证，确保只有授权的用户可以访问API Server并执行相应的操作。希望这篇文章对你有所帮助！

参考文献：
- [Kubernetes官方文档](https://kubernetes.io/docs/home/)