发布时间:2023-10-25 19:30
开启 TLS时,所有的请求都需要首先认证。Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的 username 会传入授权模块做进一步授权验证;而对于认证失败的请求则返回 HTTP 401。
当apiserver启动的时候,其实有两个和安全相关的配置,一个叫insecure-port,一个叫secure-port,早期大家很习惯的将insecure-port打开,经过insecure-port端口所有的请求其实是没有做任何的安全校验的,也就是认证,鉴权这些逻辑是不走的,这样就面临着一个危险,所有的request是没有认证的,不管是谁发的,它有没有权限,它都会被接受,这很可能就会有一些恶意的请求。
所以现在在非生产环境也会将insecure端口关掉。
另外一个是secure port,secure-port设置之后所有的认证,鉴权这些逻辑都要走。
针对开放式的框架,它一定会支持很多很多的认证方式。
X509 证书