了解 Kubernetes Api Server 如何对 kubectl 管理请求进行身份验证

Posted 2023-02-19

【中文标题】了解 Kubernetes Api Server 如何对 kubectl 管理请求进行身份验证

【英文标题】：Understanding how Kubernetes Api Server authenticates kubectl admin requests

【发布时间】：2018-12-28 04:14:44

【问题描述】：

我有一个用 kubeadm 创建的 k8s 集群。它的 kube-apiserver 有如下配置：

spec:
  containers:
  - command:
    - kube-apiserver
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --insecure-port=0
    - --enable-bootstrap-token-auth=true
    - --requestheader-allowed-names=front-proxy-client
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --allow-privileged=true
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
    - --advertise-address=10.0.0.52
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --requestheader-username-headers=X-Remote-User
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    - --secure-port=6443
    - --authorization-mode=Node,RBAC
    - --etcd-servers=https://127.0.0.1:2379
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key

我正在尝试了解 kubectl 请求（使用生成的管理 kubeconfig 文件）是如何进行身份验证/授权的。

首先，在 kubeconfig 文件中有这个用户信息：

users:
- name: kubernetes-admin
  user:
    client-certificate-data: XXXX
    client-key-data: YYYY

我已检查此客户端证书是否已颁发给组织系统：masters 和通用名称 kubernetes-admin。

authorization 部分很清楚，有一个 ClusterRoleBinding 定义将 cluster-admin 角色分配给 system:masters 组。

我不明白的是 kubectl 请求是如何被认证的（我在 kube-apiserver 配置中没有看到任何认证配置），你能详细解释一下吗？

【参考方案1】：

刚刚在kube-apiserver documentation找到这个：

--client-ca-file string 如果设置，任何呈现由 client-ca-file 中的权威机构之一签署的客户端证书的请求都是 使用对应于 CommonName 的身份进行身份验证 客户证书。

因此，如果提供客户端证书的 API 请求由配置的 ca 文件之一签名，则它们会被验证。

【讨论】：

有关格式的详细信息，请参阅kubernetes.io/docs/reference/access-authn-authz/authentication/… 的 x509 部分。