當(dāng)設(shè)置產(chǎn)品Kubernetes集群的時(shí)候，認(rèn)證和授權(quán)是兩個(gè)很重要的基本需求。

在Kubernetes中可使用的驗(yàn)證途徑。

客戶證書驗(yàn)證

為了使用這個(gè)方案，api－server需要用－client－ca－file＝<PATH_TO_CA_CERTIFICATE_FILE>選項(xiàng)來(lái)開(kāi)啟。CA_CERTIFICATE_FILE肯定包括一個(gè)或者多個(gè)認(rèn)證中心，可以被用來(lái)驗(yàn)證呈現(xiàn)給api－server的客戶端證書?？蛻舳俗C書的／CN將作為用戶名。

基于令牌的身份驗(yàn)證

為了使用這個(gè)方案，api－server需要用－token－auth－file＝<PATH_TO_TOKEN_FILE>選項(xiàng)來(lái)開(kāi)啟。TOKEN_FILE是個(gè)csv文件，每個(gè)用戶入口都有下列格式：token，user，userid，group。

Group的名字是隨意的。

令牌文件的例子：

生成tokens的一個(gè)非常簡(jiǎn)單的方法就是運(yùn)行以下命令：

基于令牌的身份驗(yàn)證面臨的挑戰(zhàn)就是，令牌是無(wú)期限的，而且對(duì)令牌清單做任何的修改都需要重新啟動(dòng)api－server。

基本認(rèn)證

為了使用這個(gè)方案，api－server需要使用－basic－auth－file＝<PATH_TO_HTTP_AUTH>選項(xiàng)來(lái)開(kāi)啟。HTTP_AUTH_FILE是個(gè)csv文件，每個(gè)用戶入口都有下列格式：password，user name，userid。目前，對(duì)AUTH_FILE的任意修都需要重新啟動(dòng)api－server。

Open ID

Open ID支持也是可用的，但是還在試驗(yàn)階段。

Keystone

Keystone支持也是可用的，但是還在試驗(yàn)階段。如果你想要將keystone跟LDAP或者動(dòng)態(tài)目錄服務(wù)整合到一起，那么就要使用keystone認(rèn)證方法。為了使用這個(gè)方案，api－server需要用－experimental－keystone－url＝<KEYSTONE_URL>選項(xiàng)來(lái)開(kāi)啟服務(wù)。驗(yàn)證成功之后，下一步就是找出對(duì)于驗(yàn)證用戶來(lái)說(shuō)，哪些操作是允許的。目前來(lái)講，Kubernetes支持4種驗(yàn)證策略方案。api－server需要使用－authorization－mode＝<AUTHORIZATION_POLICY_NAME>選項(xiàng)來(lái)開(kāi)啟。