# Kublet的認證授權
## 概覽
Kubelet 的 HTTPS 端點對外暴露了用于訪問不同敏感程度數據的 API,并允許您在節點或者容器內執行不同權限級別的操作。
本文檔向您描述如何通過認證授權來訪問 kubelet 的 HTTPS 端點。
## Kubelet 認證
默認情況下,所有未被配置的其他身份驗證方法拒絕的,對 kubelet 的 HTTPS 端點的請求將被視為匿名請求,并被授予 `system:anonymous` 用戶名和 `system:unauthenticated` 組。
如果要禁用匿名訪問并發送 `401 Unauthorized` 的未經身份驗證的請求的響應:
- 啟動 kubelet 時指定 `--anonymous-auth=false` 標志
如果要對 kubelet 的 HTTPS 端點啟用 X509 客戶端證書身份驗證:
- 啟動 kubelet 時指定 `--client-ca-file` 標志,提供 CA bundle 以驗證客戶端證書
- 啟動 apiserver 時指定 `--kubelet-client-certificate` 和 `--kubelet-client-key` 標志
- 參閱 [apiserver 認證文檔](https://kubernetes.io/docs/admin/authentication/#x509-client-certs) 獲取更多詳細信息。
啟用 API bearer token(包括 service account token)用于向 kubelet 的 HTTPS 端點進行身份驗證:
- 確保在 API server 中開啟了 `authentication.k8s.io/v1beta1` API 組。
- 啟動 kubelet 時指定 `--authentication-token-webhook`, `--kubeconfig` 和 `--require-kubeconfig` 標志
- Kubelet 在配置的 API server 上調用 `TokenReview` API 以確定來自 bearer token 的用戶信息
## Kubelet 授權
接著對任何成功驗證的請求(包括匿名請求)授權。默認授權模式為 `AlwaysAllow`,允許所有請求。
細分訪問 kubelet API 有很多原因:
- 啟用匿名認證,但匿名用戶調用 kubelet API 的能力應受到限制
- 啟動 bearer token 認證,但是 API 用戶(如 service account)調用 kubelet API 的能力應受到限制
- 客戶端證書身份驗證已啟用,但只有那些配置了 CA 簽名的客戶端證書的用戶才可以使用 kubelet API
如果要細分訪問 kubelet API,將授權委托給 API server:
- 確保 API server 中啟用了 `authorization.k8s.io/v1beta1` API 組
- 啟動 kubelet 時指定 `--authorization-mode=Webhook`、 `--kubeconfig` 和 `--require-kubeconfig` 標志
- kubelet 在配置的 API server 上調用 `SubjectAccessReview` API,以確定每個請求是否被授權
kubelet 使用與 apiserver 相同的 [請求屬性](https://kubernetes.io/docs/admin/authorization/#request-attributes) 方法來授權 API 請求。
Verb(動詞)是根據傳入的請求的 HTTP 動詞確定的:
| HTTP 動詞 | request 動詞 |
| --------- | ---------- |
| POST | create |
| GET, HEAD | get |
| PUT | update |
| PATCH | patch |
| DELETE | delete |
資源和子資源根據傳入請求的路徑確定:
| Kubelet API | 資源 | 子資源 |
| ------------ | ----- | ------- |
| /stats/* | nodes | stats |
| /metrics/* | nodes | metrics |
| /logs/* | nodes | log |
| /spec/* | nodes | spec |
| *all others* | nodes | proxy |
Namespace 和 API 組屬性總是空字符串,資源的名字總是 kubelet 的 `Node` API 對象的名字。
當以該模式運行時,請確保用戶為 apiserver 指定了 `--kubelet-client-certificate` 和 `--kubelet-client-key` 標志并授權了如下屬性:
- verb=*, resource=nodes, subresource=proxy
- verb=*, resource=nodes, subresource=stats
- verb=*, resource=nodes, subresource=log
- verb=*, resource=nodes, subresource=spec
- verb=*, resource=nodes, subresource=metrics
- 序言
- 云原生
- 云原生(Cloud Native)的定義
- CNCF - 云原生計算基金會簡介
- CNCF章程
- 云原生的設計哲學
- Play with Kubernetes
- 快速部署一個云原生本地實驗環境
- Kubernetes與云原生應用概覽
- 云原生應用之路——從Kubernetes到Cloud Native
- 云原生編程語言
- 云原生編程語言Ballerina
- 云原生編程語言Pulumi
- 云原生的未來
- Kubernetes架構
- 設計理念
- Etcd解析
- 開放接口
- CRI - Container Runtime Interface(容器運行時接口)
- CNI - Container Network Interface(容器網絡接口)
- CSI - Container Storage Interface(容器存儲接口)
- Kubernetes中的網絡
- Kubernetes中的網絡解析——以flannel為例
- Kubernetes中的網絡解析——以calico為例
- 具備API感知的網絡和安全性管理開源軟件Cilium
- Cilium架構設計與概念解析
- 資源對象與基本概念解析
- Pod狀態與生命周期管理
- Pod概覽
- Pod解析
- Init容器
- Pause容器
- Pod安全策略
- Pod的生命周期
- Pod Hook
- Pod Preset
- Pod中斷與PDB(Pod中斷預算)
- 集群資源管理
- Node
- Namespace
- Label
- Annotation
- Taint和Toleration(污點和容忍)
- 垃圾收集
- 控制器
- Deployment
- StatefulSet
- DaemonSet
- ReplicationController和ReplicaSet
- Job
- CronJob
- Horizontal Pod Autoscaling
- 自定義指標HPA
- 準入控制器(Admission Controller)
- 服務發現
- Service
- Ingress
- Traefik Ingress Controller
- 身份與權限控制
- ServiceAccount
- RBAC——基于角色的訪問控制
- NetworkPolicy
- 存儲
- Secret
- ConfigMap
- ConfigMap的熱更新
- Volume
- Persistent Volume(持久化卷)
- Storage Class
- 本地持久化存儲
- 集群擴展
- 使用自定義資源擴展API
- 使用CRD擴展Kubernetes API
- Aggregated API Server
- APIService
- Service Catalog
- 資源調度
- QoS(服務質量等級)
- 用戶指南
- 資源對象配置
- 配置Pod的liveness和readiness探針
- 配置Pod的Service Account
- Secret配置
- 管理namespace中的資源配額
- 命令使用
- Docker用戶過度到kubectl命令行指南
- kubectl命令概覽
- kubectl命令技巧大全
- 使用etcdctl訪問kubernetes數據
- 集群安全性管理
- 管理集群中的TLS
- kubelet的認證授權
- TLS bootstrap
- 創建用戶認證授權的kubeconfig文件
- IP偽裝代理
- 使用kubeconfig或token進行用戶身份認證
- Kubernetes中的用戶與身份認證授權
- Kubernetes集群安全性配置最佳實踐
- 訪問Kubernetes集群
- 訪問集群
- 使用kubeconfig文件配置跨集群認證
- 通過端口轉發訪問集群中的應用程序
- 使用service訪問群集中的應用程序
- 從外部訪問Kubernetes中的Pod
- Cabin - Kubernetes手機客戶端
- Kubernetic - Kubernetes桌面客戶端
- Kubernator - 更底層的Kubernetes UI
- 在Kubernetes中開發部署應用
- 適用于kubernetes的應用開發部署流程
- 遷移傳統應用到Kubernetes中——以Hadoop YARN為例
- 最佳實踐概覽
- 在CentOS上部署Kubernetes集群
- 創建TLS證書和秘鑰
- 創建kubeconfig文件
- 創建高可用etcd集群
- 安裝kubectl命令行工具
- 部署master節點
- 安裝flannel網絡插件
- 部署node節點
- 安裝kubedns插件
- 安裝dashboard插件
- 安裝heapster插件
- 安裝EFK插件
- 生產級的Kubernetes簡化管理工具kubeadm
- 使用kubeadm在Ubuntu Server 16.04上快速構建測試集群
- 服務發現與負載均衡
- 安裝Traefik ingress
- 分布式負載測試
- 網絡和集群性能測試
- 邊緣節點配置
- 安裝Nginx ingress
- 安裝配置DNS
- 安裝配置Kube-dns
- 安裝配置CoreDNS
- 運維管理
- Master節點高可用
- 服務滾動升級
- 應用日志收集
- 配置最佳實踐
- 集群及應用監控
- 數據持久化問題
- 管理容器的計算資源
- 集群聯邦
- 存儲管理
- GlusterFS
- 使用GlusterFS做持久化存儲
- 使用Heketi作為Kubernetes的持久存儲GlusterFS的external provisioner
- 在OpenShift中使用GlusterFS做持久化存儲
- GlusterD-2.0
- Ceph
- 用Helm托管安裝Ceph集群并提供后端存儲
- 使用Ceph做持久化存儲
- 使用rbd-provisioner提供rbd持久化存儲
- OpenEBS
- 使用OpenEBS做持久化存儲
- Rook
- NFS
- 利用NFS動態提供Kubernetes后端存儲卷
- 集群與應用監控
- Heapster
- 使用Heapster獲取集群和對象的metric數據
- Prometheus
- 使用Prometheus監控kubernetes集群
- Prometheus查詢語言PromQL使用說明
- 使用Vistio監控Istio服務網格中的流量
- 分布式跟蹤
- OpenTracing
- 服務編排管理
- 使用Helm管理Kubernetes應用
- 構建私有Chart倉庫
- 持續集成與發布
- 使用Jenkins進行持續集成與發布
- 使用Drone進行持續集成與發布
- 更新與升級
- 手動升級Kubernetes集群
- 升級dashboard
- 領域應用概覽
- 微服務架構
- 微服務中的服務發現
- 使用Java構建微服務并發布到Kubernetes平臺
- Spring Boot快速開始指南
- Service Mesh 服務網格
- 企業級服務網格架構
- Service Mesh基礎
- Service Mesh技術對比
- 采納和演進
- 定制和集成
- 總結
- Istio
- 安裝并試用Istio service mesh
- 配置請求的路由規則
- 安裝和拓展Istio service mesh
- 集成虛擬機
- Istio中sidecar的注入規范及示例
- 如何參與Istio社區及注意事項
- Istio教程
- Istio免費學習資源匯總
- 深入理解Istio Service Mesh中的Envoy Sidecar注入與流量劫持
- 深入理解Istio Service Mesh中的Envoy Sidecar代理的路由轉發
- Linkerd
- Linkerd 使用指南
- Conduit
- Condiut概覽
- 安裝Conduit
- Envoy
- Envoy的架構與基本術語
- Envoy作為前端代理
- Envoy mesh教程
- SOFAMesh
- SOFAMesh中的Dubbo on x-protocol
- SOFAMosn
- 使用 SOFAMosn 構建 SOFAMesh
- 大數據
- Spark standalone on Kubernetes
- 運行支持Kubernetes原生調度的Spark程序
- Serverless架構
- 理解Serverless
- FaaS-函數即服務
- OpenFaaS快速入門指南
- 邊緣計算
- 人工智能