k8s的认证和service account简述

k8s的认证：

与API server通信的客户端大致有两类：
  1.集群客户端工具（kubectl、kubeadm、kubelet等）
  2.集群内pod.

任何客户端访问k8s时的过程：
  1.认证：任何客户端访问k8s，首先需要通过k8s的认证；认证通过是说明所用账号只是k8s的合法用户；
  2.授权：认证通过后，是否具有对k8s集群中资源的操作，需要k8s对其进行授权检查；
  3.准入控制：授权检查通过后，并不能说明你的操作都在我们指定的操作范围内；进一步补充授权。
认证：k8s中常见的认证方式有：token令牌认证和SSL认证。
授权：k8s中常见的授权方式有：Node、ABAC(Attribute Base Access Control基于属性的访问控制)、RBAC(Role Base Access Control基于角色的访问控制)
k8s是高度模块化设计的，认证、授权、准入控制等，都通过插件方式部署，可由用户自定义选择经由什么样的插件来完成何种控制逻辑。

每个名称空间下都会有一个默认的token，该名称空间下的pod使用默认使用这个token来与API Servre通信。

kubeadm初始化后生成的客户端证书和私钥在:.kube/config



k8s的kubectl等客户端工具对集群操作时，命令被转化为一个http协议的请求：
  如：若想访问default名称空间下的deployment控制器生成的nignx pod时的URL路径为：
  http://node_ip:node_port/apis/apps/v1/namespaces/default/deployments/nginx
 
service account(sa):
kubernetes集群有两类认证时的账号：
  user account（管理者、访问者）、service account（pod）。
 

创建一个sa：

kubectl create serviceaccount SA_NAME

若要对单独或一组pod使用单独token来实现权限的提升或者降级，需要单独创建pod账户（Service account）。
service account简写sa，创建一个sa的同时，系统会自动给这个sa生成一个token，用于使创建的sa连接API Server 。
查看某个pod使用的sa：kubectl describe pods POD_NAME 在输出的结果中寻找volumes段的SecretName。
pod若要使用某个自定义sa时，须在创建Pod时，在pod的资源清单中添加SA_NAME（spec.serviceAccountName:SA_NAME）。

 

例：k8s创建pod时，需要docker在镜像仓库中拉取镜像，若是私有镜像仓库，则需要提供账户及密钥，此时的解决方法有两种：

1.直接在定义pod时定义imagePullSecret。（较不安全）

2.创建单独的账户（sa），在sa中定义imagePullSecret，然后在创建pod时定义serviceAccountName为此sa名称。