K8s的用戶和權限管理包括兩個方面：認證和授權。認證解決用戶是誰的問題，授權解決用戶能做什么的問題。通過合理的權限管理，能夠保證系統的安全可靠。

Kubernetes提供了三種級別的客戶端認證方式：

• HTTPS證書認證，是基于CA根證書簽名的雙向數字證書認證方式，是最嚴格的認證
• HTTP Token認證，通過Token識別每個合法的用戶
• HTTP Basic認證

HTTP Token認證和Http Basic認證是相對簡單的認證方式，Kubernetes的各組件與Api Server的通信方式仍然是HTTPS，但不再使用CA數字證書。

證書認證

使用kubeadm初始化的Kubernetes集群中，kube-apiserver是以靜態Pod的形式運行在Master Node上。 可以在Master Node上找到其定義文件/etc/kubernetes/manifests/kube-apiserver.yaml，其中啟動命令參數部分如下：

 "containers": [
      {
        "name": "kube-apiserver",
        "image": "gcr.io/google_containers/kube-apiserver-amd64:v1.5.2",
        "command": [
          "kube-apiserver",
          "--insecure-bind-address=127.0.0.1",
          "--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota",
          "--service-cluster-ip-range=10.96.0.0/12",
          "--service-account-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--client-ca-file=/etc/kubernetes/pki/ca.pem",
          "--tls-cert-file=/etc/kubernetes/pki/apiserver.pem",
          "--tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--token-auth-file=/etc/kubernetes/pki/tokens.csv",
          "--secure-port=6443",
          "--allow-privileged",
          "--advertise-address=192.168.61.100",
          "--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname",
          "--anonymous-auth=false",
          "--etcd-servers=http://127.0.0.1:2379"
        ],

部分參數說明：
--client-ca-file: 指定CA根證書文件為/etc/kubernetes/pki/ca.pem，內置CA公鑰用于驗證某證書是否是CA簽發的證書
--tls-private-key-file: 指定ApiServer私鑰文件為/etc/kubernetes/pki/apiserver-key.pem
--tls-cert-file： 指定ApiServer證書文件為/etc/kubernetes/pki/apiserver.pem
說明Api Server已經啟動了HTTPS證書認證，此時如果在集群外部使用瀏覽器訪問 https://master:6443/api會提示Unauthorized。
設置apiserver的啟動參數：--client_ca_file=SOMEFILE。

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=k8stest" -days 10000 -out ca.crt

openssl x509 -noout -text -in ca.crt

openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=master.k8stest" -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000

openssl x509 -noout -text -in server.crt

openssl genrsa -out winway.key 2048
openssl req -new -key winway.key -subj "/CN=winway" -out winway.csr
openssl x509 -req -in winway.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out winway.crt -days 10000

證書分四類

• ca.pem - 私有CA根證書
• kubernetes.pem - 與 node 通信的，
• kube-proxy.pem - k8s 與容器通信的
• admin.pem - kubectl 管理用

Token認證

設置apiserver的啟動參數：--token_auth_file=SOMEFILE。

#cat tokens.csv
abcdTOKEN1234,winway,winway

基本信息認證

設置apiserver的啟動參數：--basic_auth_file=SOMEFILE。

$ cat password.csv
123456,winway,winway
$ echo -n "winway:123456" | base64
d2FuZ3dlaToxMjM0NTY=

配置生效

$ vim /etc/kubernetes/apiserver
KUBE_API_ARGS="--client-ca-file=/home/winway/ca.crt --tls-cert-file=/home/winway/server.crt --tls-private-key-file=/home/winway/server.key --token_auth_file=/home/winway/tokens.csv --basic-auth-file=/home/winway/password.csv"

systemctl restart kube-apiserver

測試

curl --cacert ./ca.crt --key ./winway.key --cert ./winway.crt 'https://master.k8stest:6443'

curl --cacert ./ca.crt  -H "Authorization: Bearer abcdTOKEN1234" 'https://master.k8stest:6443'

curl --cacert ./ca.crt  -H "Authorization: Basic d2FuZ3dlaToxMjM0NTY=" 'https://master.k8stest:6443'