當設置產(chǎn)品Kubernetes集群的時候，認證和授權是兩個很重要的基本需求。

在Kubernetes中可使用的驗證途徑。

客戶證書驗證

為了使用這個方案，api－server需要用－client－ca－file＝<PATH_TO_CA_CERTIFICATE_FILE>選項來開啟。CA_CERTIFICATE_FILE肯定包括一個或者多個認證中心，可以被用來驗證呈現(xiàn)給api－server的客戶端證書。客戶端證書的／CN將作為用戶名。

基于令牌的身份驗證

為了使用這個方案，api－server需要用－token－auth－file＝<PATH_TO_TOKEN_FILE>選項來開啟。TOKEN_FILE是個csv文件，每個用戶入口都有下列格式：token，user，userid，group。

Group的名字是隨意的。

令牌文件的例子：

生成tokens的一個非常簡單的方法就是運行以下命令：

基于令牌的身份驗證面臨的挑戰(zhàn)就是，令牌是無期限的，而且對令牌清單做任何的修改都需要重新啟動api－server。

基本認證

為了使用這個方案，api－server需要使用－basic－auth－file＝<PATH_TO_HTTP_AUTH>選項來開啟。HTTP_AUTH_FILE是個csv文件，每個用戶入口都有下列格式：password，user name，userid。目前，對AUTH_FILE的任意修都需要重新啟動api－server。

Open ID

Open ID支持也是可用的，但是還在試驗階段。

Keystone

Keystone支持也是可用的，但是還在試驗階段。如果你想要將keystone跟LDAP或者動態(tài)目錄服務整合到一起，那么就要使用keystone認證方法。為了使用這個方案，api－server需要用－experimental－keystone－url＝<KEYSTONE_URL>選項來開啟服務。驗證成功之后，下一步就是找出對于驗證用戶來說，哪些操作是允許的。目前來講，Kubernetes支持4種驗證策略方案。api－server需要使用－authorization－mode＝<AUTHORIZATION_POLICY_NAME>選項來開啟。