《蹲坑学K8S》之22-1:Kubernetes认证机制

当在访问Kubernetes资源开启TLS时，所有的请求都需要进行认证。Kubernetes 支持多种认证机制，并支持同时开启多个认证插件（只要有一个认证通过即可）。如果认证成功，则用户的username会传入授权模块做进一步授权验证；而对于认证失败的请求则返回 HTTP 401。

注意：虽然Kubernetes认证和授权用到了User和Group，但Kubernetes并不直接管理用户，不能创建User对象，也不存储User。

Kubernetes支持以下认证插件：

（1）X509 证书

（2）静态 Token 文件

（3）引导 Token

（4）静态密码文件

（5）Service Account

（6）OpenID

（7）Webhook

（8）认证代理

（9）OpenStack Keystone 密码

在这里主要了解以下几种认证：

一、X509证书

（1）创建配置文件

[root@k8s-master ~]# cd /usr/local/kubernetes/ssl/
[root@k8s-master ssl]# vim dodo-csr.json
添加：
{
    "CN": "dodo",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "system:masters",
            "OU": "System"
        }
    ]
}

（2）生成证书

[root@k8s-master ssl]# cfssl gencert -ca=/usr/local/kubernetes/ssl/ca.pem -ca-key=/usr/local/kubernetes/ssl/ca-key.pem -config=/usr/local/kubernetes/ssl/ca-config.json -profile=kubernetes /usr/local/kubernetes/ssl/dodo-csr.json  | cfssljson -bare dodo

（3）查看证书

（4）应用证书访问Kubernetes群集

# 设置集群认证参数
kubectl config set-cluster kubernetes  \
        --certificate-authority=/usr/local/kubernetes/ssl/ca.pem \
        --embed-certs=true \
        --server=https://192.168.1.3:6443 \
        --kubeconfig=/usr/local/kubernetes/conf/dodo.kubeconfig
# 设置用户认证参数
kubectl config set-credentials admin  \
        --client-certificate=/usr/local/kubernetes/ssl/dodo.pem  \
        --client-key=/usr/local/kubernetes/ssl/dodo-key.pem   \
        --embed-certs=true  \
        --kubeconfig=/usr/local/kubernetes/conf/dodo.kubeconfig
# 设置上下文参数
kubectl config set-context default  \
        --cluster=kubernetes  \
        --user=dodo  \
        --kubeconfig=/usr/local/kubernetes/conf/dodo.kubeconfig
#设置默认用户
kubectl config use-context default \
        --kubeconfig=/usr/local/kubernetes/conf/dodo.kubeconfig

二、静态 Token 文件

使用静态 Token 文件认证只需要 API Server 启动时配置 --token-auth-file=SOMEFILE。该文件为 csv 格式，每行至少包括三列 token,username,user id，后面是可选的group名。

例如：创建TLS Bootstrapping token文件

[root@k8s-master ~]# head -c 16 /dev/urandom | od -An -t x | tr -d ' '     ##会产生一串字符串
58efbbf2c450bc6de0052e28ce47fa9c
[root@k8s-master ~]# vim /usr/local/kubernetes/ssl/token.csv
修改：
58efbbf2c450bc6de0052e28ce47fa9c,kubelet-bootstrap,10001,"system:kubelet-bootstrap"   ##用生成的字符串替换下面的 “58ef.... ”这一串数字
 
[root@k8s-master ~]# vim /usr/local/kubernetes/conf/kube-apiserver
添加：
--token-auth-file=/usr/local/kubernetes/ssl/token.csv

三、Service Account

Service Account用来访问kubernetes API，通过kubernetes API创建和管理，每个Service Account只能在一个Namespace上生效，存储在kubernetes API中的Secrets资源中。ServiceAccount是Kubernetes自动生成的，并会自动挂载到容器的/var/run/secrets/kubernetes.io/serviceaccount目录中。

例如：

1、创建一个名称空间

[root@k8s-master ~]# kubectl create namespace dodo

2、查看SA
（1）查看发现：自动创建一个sa

[root@k8s-master ~]# kubectl get sa -n dodo

（2）查看SA的详细信息

[root@k8s-master ~]# kubectl describe sa -n dodo

3、查看secret
（1）查看secret发现：自动创建一个secret

[root@k8s-master ~]# kubectl get secrets -n dodo

（2）查看secret详细信息

[root@k8s-master ~]# kubectl describe secrets default-token-l9dd2 -n dodo

4、创建Pod应用namespace。

[root@k8s-master ~]# vim test-pod.yaml
添加：
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: dodo
spec:
  containers:
    - name: nginx
      image: nginx:1.16
      ports:
      - name: http
        containerPort: 80

[root@k8s-master ~]# kubectl apply -f test-pod.yaml

[root@k8s-master ~]# kubectl get pod -n dodo

[root@k8s-master ~]# kubectl describe pod test-pod -n dodo

[root@k8s-master ~]# kubectl get pod test-pod -n dodo -o yaml

说明：挂载的是sa的secret：default-token-l9dd2。新建的pod如果不指定sa，自动挂载默名称空间的sa(default)。

[root@k8s-master ~]# kubectl exec -it test-pod -n dodo  -- sh