标签:二十二 csv Kubernetes -- token auth apiserver Authentication kube
kubectl create serviceaccount sa1
kubectl get serviceaccount
验证方式kube-apiserver:
- Static Password File
- Static Token File
- Certificates
- Identity Services,第三方身份验证协议,如LDAP、Kerberos等
Static Password File :
user-details.csv :
password,username,userid(,groupname optional)
...
user-token-details.csv
token,username,userid(,groupname optional)
...
定义方式:
-
--basic-auth-file=user-details.csv--token-auth-file=user-details.csvapiserver重启才能生效 -
kubeadm
/etc/kubernetes/manifests/kube-apiserver.yamlapiVersion: v1 kind: Pod metadata: creationTimestamp: null name: kube-apiserver namespace: kube-system spec: containers: - command: - kube-apiserver - --authorization-mode=Node,RBAC - --advertise-address=172.17.0.107 - --allow-privileged=true - --enable-admission-plugins=NodeRestriction - --enable-bootstrap-token-auth=true image: k8s.gcr.io/kube-apiserver-amd64:v1.11.3 name: kube-apiserver
访问:
-
curl -v -k https://master-node-ip:6443/api/v1/pods -u "username:password" {data...} -
curl -v -k <link> --header "Authorization: Bearer xxxxxxxx"
注意点:
- 不推荐使用静态储存(在v1.19已弃用)
- Consider volume mount while providing the auth file in a kubeadm setup
- Setup Role Based Authorization for the new users
标签:二十二,csv,Kubernetes,--,token,auth,apiserver,Authentication,kube 来源: https://www.cnblogs.com/Bota5ky/p/16629429.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。