概念:Kubernetes API的访问控制

当对 k8s API 的 request 到来时，它经过几个 stages ，如下图所示:

image.png

即 认证 、 授权 、 Admission(准入) 3个阶段

传输层安全

首先是 传输层安全 , api server 使用 TLS协议 ， 服务于 443端口

认证

集群管理员配置 api server 运行 1个或多个 认证模块 。

发送给 认证模块 的输入为整个 HTTP 请求 , 虽然它只是检查 header 和/或 客户端证书

认证模块 包含

• 客户端证书
• 密码
• plain tokens
• bootstrap tokens
• JSON Web Tokens(JWT,用于 service accounts)

可以设置多个 认证模块 , 它们依次尝试，直到其中的某个成功后就不再执行后面的认证模块，立即进入授权阶段。
它们执行的顺序没有保证 。

如果不能被认证， api server 返回 401状态码
否则，访问者将会被认证为某个特定的 username ， 并且这个 username 用于后续的授权步骤。
一些 认证模块 还会提供用户的 group memberships

虽然 k8s 使用 username 用来进行访问控制和日志记录，但是它没有 User 对象 ，也不会在其 API 中存储 usernames 或用户的其他信息

授权

从 3个维度进行授权 :

• requester username
• requested action
• object affected by the action

如果有存在的 Policy 声明 允许 user 对 object 执行 action ，则认为被授权

可以设置多个 授权模块 , 例如 ABAC 、 RBAC 、 Webhook 。
只要它们中的任意一个 授权了请求 , 则表示授权成功。

如果不能被授权， api server 返回 403状态码

Admission control(准入控制)

Admission control module 是用来 修改或拒绝 请求的 软件模块。
Admission control module 可以访问正在创建或修改的对象的内容

Admission controller 作用于对象的 create,modify,delete 的操作， 对 read 操作不起作用。

当存在多个 Admission controller 时，它们 依次被调用

如果任何一个 Admission controller 拒绝了请求，则请求会被拒绝

除了可以拒绝请求外， Admission controller 还可以修改对象的内容

注意 :
Admission controller 参考文章: https://www.jianshu.com/p/a830a3526287
Admission controller 并不等同于 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook , 后者只是 Admission Controller 中的2个特定的控制器, Admission controller 还包含许多其他的控制器
上面所说 "当存在多个 Admission controller 时，它们 依次被调用" 指的是不同的控制器被依次调用,并不是说不同的webhook被依次调用, 实际上 ValidatingAdmissionWebhook 是 并行调用 匹配请求的 ValidatingWebhookConfiguration

Admission Controllers(准入控制器) 控制过程分2个阶段, 第一个阶段为 mutating , 然后是SchemaValidation(这步不是 Admission Controllers(准入控制器) 的工作), 然后是 validating .

Validation object

通过了 Admission controller 之后，还要对对象进行验证例程， 然后将其写入对象存储
注意 : 该步骤其实是在 Admission controller 的 mutating 之后, validating 之前执行

API server ports and IPs

默认情况下， api server 服务于两个 HTTP 端口

• localhost 端口
  • 用于 测试和bootstrap，以及master node上的其他组件(scheduler、controller-manager)访问 api server
  • no TLS ， 即 insecure
  • 默认端口 8080 ， 使用 --insecure-port 更改
  • 默认IP为 localhost ， 使用 --insecure-bind-address 更改
  • 请求 bypass(略过) 认证和授权模块
  • 请求 仍然受 admission control 控制
  • 没有主机访问权限 不能访问
• secure 端口
  • 任何时候都可用
  • 使用 TLS 。 使用 --tls-cert-file 和 --tls-private-key-file 配置证书
  • 默认端口 6443 ， 使用 --secure-port 更改
  • 默认IP为 第一个非本地网络接口 , 使用 --bind-address 更改
  • 请求 受 认证和授权模块 控制
  • 请求 受 admission control 控制