k8s认证授权
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了k8s认证授权相关的知识,希望对你有一定的参考价值。
参考技术A k8s通过三类插件完成权限控制一,认证,一票通过
1,证书认证,
2,口令认证
3,引导令牌认证
4,jwt token 基于http协议携带json格式令牌
二,对应认证成功的用户基于资源管理的权限指派,授权。一票通过制
三,准入控制。一票否决制
此三类功能全部在apiserver中。
k8s用户信息:
1,常规用户:人类用户。k8s不保存用户账户,只要认证通过即可为任何账户
2,服务账号:为了让集群中pod的程序连入apiserver中进行认证
自建用户证书
Service Account用户
k8s中创建认证功能很简单,但是认证到集群之后的权限确定于此角色的授权
且service account会自动的帮助我们创建一个secret文件帮我们认证
k8s内建授权插件
1.ABAC:基于属性的访问控制,在某资源字段级别做控制
2.RBAC:基于角色的访问控制。通过赋予角色权限,将角色关联至用户。
3.Webhook:
4.node:根据pod对象调度结果为Node进行授权,可访问pod,此为自动进行
role(角色)级别由名称空间级别与集群级别的,集群级别的role可操作名称空间级别的资源
创建好角色后,可使用rolebinding绑定至用户,组等等
修改role资源。将deploy资源类型添加至角色,应用之后账户即有了权限
Dashboard:面板,WebUi界面
多用户类型,将认证请求代理至kubernetes,有k8s处理,使用service account账户
部署dashboard
kubectl edit service/kubernetes-dashboard -n kube-system#修改一下svc的访问方式使用nodeport使外部能够访问
kubectl describe secret kubernetes-dashboard-token-w25fx -n kube-system #获取令牌登陆
分为两类模块:
变异类模块:实现按照模块规范修改用户提交资源属性定义
校验类模块:校验用户给定配置信息是否符合配置规范
LimitRange资源需要结合LimitRanger控制器。名称空间级别,定义某名称空间所有pod需要定义资源限制如果不定义则会使用default资源
ResourceQuota资源:定义整个名称空间使用的资源总量是多少
3.5 样本分布K-S检验 ——python实战
文章目录
import tensorflow as tf
print("TensorFlow version:", tf以上是关于k8s认证授权的主要内容,如果未能解决你的问题,请参考以下文章