k8s 认证机制源码分析

已于 2022-10-04 09:27:54 修改
阅读量1k 收藏 3
点赞数
分类专栏: kubernetes源码分析 文章标签: kubernetes 网络 认证 kube-apiserver
于 2022-09-27 00:10:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengcai_ke/article/details/127043736
版权
本文详细介绍了Kubernetes中kube-apiserver的认证机制,包括支持的认证方式如客户端证书、token认证等,以及如何配置这些认证方式。同时,还深入探讨了认证模块的初始化过程和认证的具体执行流程。
摘要由CSDN通过智能技术生成

当kube-apiserver收到http请求后,会经过认证,鉴权和准入控制这三个和权限相关的模块的处理,本文主要分析认证模块。
认证模块主要依据请求头携带的token或证书等信息进行认证,支持x509证书,用户名和密码(从1.19已不再支持),token,webhook和匿名认证等方式,具体的可查看官网,可在kube-apiserver进程启动时配置多种认证,当收到请求时,依次遍历这些认证,有一个认证成功则认为请求通过,并返回user信息,以便鉴权模块根据user信息进行处理,如果认证全部失败,则返回401(Unauthorized)。

如何配置
认证方法比较多,这里选择几种容易理解或常用的进行介绍。

a. 客户端证书认证: 在kube-apiserver进程启动时,通过添加–client-ca-file=SOMEFILE指定客户端证书即可启用。
b. token认证: 在kube-apiserver进程启动时,添加–token-auth-file=SOMEFILE可启动token认证,如果修改了token文件

了解本专栏 订阅专栏 解锁全文 超级会员免费看
分享放大价值
关注
专栏目录
订阅专栏
K8s源码分析
SHELLCODE_8BIT的博客
04-28 1119
前言 · 《k8s-1.13版本源码分析
k8s 鉴权机制源码分析
fengcai_ke的博客
10-02 542
k8s鉴权机制源码分析
k8s控制器源码解读
wxd1234567890的博客
01-12 1787
replicaset 控制器 引用 https://draveness.me/kubernetes-replicaset/ https://cloud.tencent.com/developer/article/1554675 Kubernetes 中的 ReplicaSet 主要的作用是维持一组 Pod 副本的运行,它的主要作用就是保证一定数量的 Pod 能够在集群中正常运行,它会持续监听这些 Pod 的运行状态,在 Pod 发生故障重启数量减少时重新运行新的 Pod 副本。这篇文章会介绍 Repli
k8s安全管理:认证、授权、准入控制概述
最新发布
weixin_44800629的博客
09-20 1147
认证基本介绍 kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符合要求的用户。 授权基本介绍: 认证通过后仅代表它是一个被apiserver信任的用户,能访问apiserver,但是用户是否拥有删除资源的权限, 需要进行授权操作,常见的授权方式有rbac授权。
K8s源码分析(一)-K8s调度框架及调度器初始化介绍
slipegg的博客
05-10 1395
K8s调度框架进行了介绍,还介绍了Cobra,并分析K8s调度器的初始化代码
kubernetes/k8s源码分析kube-scheduler 源码分析
zhonglinzhang
08-15 8913
kubernetes 1.12.1版本 前言 在 kubernetes 体系中,scheduler 是以 plugin 形式存在的模块,这种可插拔的设计方便用户自定义所需要的调度算法,所以源码路径为 plugin 目录下的 cmd 以及 pkg/scheduler Scheduler 负责安排 Pod 到具体的Node,通过监听API server提供的wat...
K8s 源码剖析及debug实战(二):debug K8s 源码
日常学习与专研的记录
12-27 1656
本文主要介绍如何 debug K8s 源码。本专栏主要从 K8s 源码出发,深入理解 K8s 一些组件底层的代码逻辑。
k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1413
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
k8s admission机制源码分析
fengcai_ke的博客
10-04 501
k8s admisson机制分析
k8s-1.14.1源码
11-22
源码分析对于理解其工作原理和技术架构至关重要。在Kubernetes 1.14.1版本中,我们能够深入探究这个强大的系统是如何运行的。 1. **Kubernetes架构** Kubernetes的核心组件包括API服务器、etcd、调度器、控制器...
k8s源码分析 pdf_K8S源码分析API Server-阿里云开发者社区
weixin_39714383的博客
12-29 215
基于kubernetes 1.9版本源码启动入口地址在\cmd\kube-apiserver\apiserver.go\main()函数很短,里面只有三句重要的代码s := options.NewServerRunOptions() //新生成一个ServerRunOptions对象s.AddFlags(pflag.CommandLine) //ServerRunOptions填值....
k8s源码分析 pdf_100 - k8s源码分析-准备工作
weixin_39694016的博客
12-20 312
今天我们开始讲kubernetes源码!之前的其他开源项目还没有说完,后续会陆陆续续更新,我们把主线先放到k8s源码上。之前我想详细讲解每一行k8s源码,但是越看越发现一个大型开源项目如果拘泥于每一行的逻辑,很容易把战线拉得太长,最后失去兴趣。所以今天我们先聊聊源码该怎么看。1、目标我们为什么要看k8s源码?我认为无非是提升golang功力、深入k8s原理、参与k8s社区,最后成为一个资深的云...
简单易学的Kubernetesk8s):架构和源码解读
weixin_38320674的博客
02-19 2390
1▲点击上方"DevOps和k8s全栈技术"关注公众号KubernetesK8s)为云原生应用提供了强大的管理和编排能力。本文将深入探讨Kubernetes的架构,解剖其核心组件,以帮助读者更好地理解这个复杂而强大的系统。第一部分:K8S基本概念和架构介绍1. Kubernetes基本概念Pods: 是Kubernetes的最小调度单元,可以包含一个或多个容器。Nodes: 是物理或虚拟机器,...
【原创】k8s源码分析-----kubectl(3)主要框架
月牙寂
04-20 9476
本文QQ空间的链接:http://user.qzone.qq.com/29185807/blog/1461123088 本文csdn博文的链接:http://blog.csdn.net/screscent/article/details/51199351   源码k8s v1.1.1   1、整体流程 我们先整体的流程走一遍,不用太过于关心看不看的懂,先有个整体的流程概念,后续再一步...
k8s源码分析--kube-scheduler源码(一)
cbmljs的博客
11-28 887
版本:v1.13.0 启动分析 kubernetes基础组件的入口均在cmd目录下,kube-schduler入口在scheduler.go下。 kubernetes所有的组件启动采用的均是command的形式,引用的是spf13类库。 func main() { rand.Seed(time.Now().UnixNano()) //创建Cobra格式的Sched...
k8s源码分析——kubectl主要框架
cbmljs的博客
10-15 3229
代码版本:1.13 先整体的流程走一遍,不需要太过于关系细节,先整体把握整体的流程概念,后续在一步一步分析。 1. main 先从main函数开始,代码在k8s.io\kubernetes\cmd\kubectl\kubectl.go main函数中调用了NewDefaultKubectlCommand函数,该函数的实现在: /pkg/kubectl/cmd/cmd.go中: 该函数调用...
k8s源码国内源
极客栈
08-06 746
k8s源码在github上下载非常缓慢,所以需要用国内源进行下载 开源中国的源是比较快一些的,所以我fetch了一个分支,可以较快速度下载 具体路径: https://gitee.com/jiaozongguan/kubernetes.git
kubernetes/k8s源码分析k8s secret storage 源码分析
zhonglinzhang
05-29 3627
Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。 用户可以创建自己的secret,系统也会有自己的secret。 Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:作为volume的一个域...
k8s源码(一): Pod创建流程
weixin_46322986的博客
01-26 3298
深入k8s源码,学习kubelet创建Pod的流程。
k8s client-go源码分析:Reflector与Informer机制解析
"k8s client-go源码分析 informer源码分析(3)-Reflector源码分析" 在 Kubernetes 的 client-go 库中,Informer 是一个强大的组件,它负责高效地管理和监听集群中的资源对象。Informer 包含了一个关键组件——...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

分享放大价值

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值