Kubernetes 鉴权 Authorization

Kubernetes 1.5中引入，是现行版本中的默认授权标准

支持运行时调整，无需重启API Server

namespace 1

例如：ABAC基于属性的权限策略在修改了属性之后就需要进行重启才可以生效

namespace级别的对象

测试的时候才可能用到的

Kubernetes Cluster

授权策略

namespace 3

namespace 2

认证的过程只是确认对方是可信的，二者可以进行通信，但是还需要通过鉴权来确定请求方有哪些资源的请求权限。就好比：用户可以登录一个系统，但是他不可以对系统中的公共资源都进行编辑，这就是他的权限限制的原因。

资源：Pod、Deployment、Service、Node....

Normal Users

Kubernetes 授权策略：（通过APIServer 启动参数--authorization-mode 设置）1、AlwaysDeny：拒绝所有请求2、AlwaysAllow：接收所有请求3、ABAC：基于属性的访问控制，即使用用户配置的授权规则对用户进行匹配和控制4、Webhook：通过调用外部 REST 服务对用户进行授权5、RBAC：基于角色的访问控制，控制谁可以访问Kubernetes 集群，是现行最常用的方式

对集群中的资源和非资源均有完整的覆盖

Role: 定义了角色可以对资源的操作

老版本中的策略

定义动作 Verbs：GET、LIST、UPDATE

RoleBinding：提供了对指定namespace的访问权限

ClusterRole: 定义了角色可以对资源的操作

RBAC 基于角色的访问控制 Role-Based Access Control

定义资源 Nouns：Pods、Volumes....

为什么要鉴权

Role

由 API 对象完成，可以使用kubectl 或API操作

Cluster Role

ClusterRoleBinding：提供了对整个Kubernetes集群的访问权限 

Admin

ClusterRoleBinding

定义动作 Verbs：get、list、edit

RoleBinding

非资源：资源的状态...

集群级别的对象