Kubelet Authentication & Authorization
Uthibitisho wa Kubelet
Kwa chaguo-msingi, maombi kwa mwisho wa HTTPS wa kubelet ambayo hayakataliwi na njia zingine za uthibitisho zilizowekwa hutambuliwa kama maombi ya kujitegemea, na kupewa jina la mtumiaji system:anonymous
na kikundi cha system:unauthenticated
.
Njia 3 za uthibitisho ni:
Kujitegemea (chaguo-msingi): Tumia kuweka parameta
--anonymous-auth=true
au mazingira:
Webhook: Hii itawezesha kubectl API bearer tokens kama idhini (kitambulisho chochote halali kitakuwa halali). Ruhusu kwa:
hakikisha kikundi cha API cha
authentication.k8s.io/v1beta1
kimezimishwa kwenye seva ya APIanzisha kubelet na bendera za
--authentication-token-webhook
na--kubeconfig
au tumia mipangilio ifuatayo:
Kubelet huita API ya TokenReview kwenye seva ya API iliyowekwa ili kutambua habari ya mtumiaji kutoka kwa tokeni za bearer
Vyeti vya mteja vya X509: Kuruhusu kujithibitisha kupitia vyeti vya mteja vya X509
angalia nyaraka za uthibitishaji wa apiserver kwa maelezo zaidi
anza kubelet na bendera
--client-ca-file
, ukiweka faili ya CA kuthibitisha vyeti vya mteja. Au na config:
Uthibitishaji wa Kubelet
Ombi lolote ambalo limehakikiwa kwa mafanikio (ikiwa ni pamoja na ombi la kujitegemea) linaidhinishwa. Hali ya idhini ya msingi ni AlwaysAllow
, ambayo inaruhusu maombi yote.
Hata hivyo, thamani nyingine inayowezekana ni webhook
(ambayo ndio utakayopata zaidi). Hali hii ita angalia ruhusa za mtumiaji aliyeidhinishwa ili kuruhusu au kukataa kitendo.
Tafadhali kumbuka kwamba hata kama uthibitishaji wa kujitegemea umewezeshwa upatikanaji wa kujitegemea unaweza kutokuwa na ruhusa yoyote ya kufanya kitendo chochote.
Uthibitishaji kupitia webhook unaweza kusanidiwa kwa kutumia param --authorization-mode=Webhook
au kupitia faili ya usanidi kama ifuatavyo:
Kubelet huita API ya SubjectAccessReview
kwenye seva ya API iliyowekwa ili kutambua ikiwa kila ombi lime idhinishwa.
Kubelet inaidhinisha maombi ya API kwa kutumia njia ile ile ya vipengele vya ombi kama apiserver:
Kitendo
Rasilimali inayozungumza na api ya Kubelet ni daima nodes na subrasilimali inatambuliwa kutoka kwa njia ya ombi linaloingia:
Kwa mfano, ombi lifuatalo lilijaribu kupata habari za pods za kubelet bila idhini:
Tumepata Katazwa, hivyo ombi lime pitisha ukaguzi wa Uthibitisho. Vinginevyo, tungepata tu ujumbe wa
Hauruhusiwi
.Tunaweza kuona jina la mtumiaji (katika kesi hii kutoka kwa ishara)
Angalia jinsi rasilimali ilivyokuwa wakala na rasilimali ya ziada proxy (ambayo ina maana na habari iliyotangulia)
Marejeo
Last updated