一文详解kube-apiserver认证鉴权能力
本文分享自华为云社区《kube-apiserver认证鉴权能力》,作者: 可以交个朋友。 HTTPS为什么要进行身份验证 首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver,有图有真相 所以要想了解kube-apiserver认证鉴权,得先从HTTPS说起;接下来我们直接通过API接口访问apiserver 为什么不能访问?准确来说是为什么不能建立HTTPS连接 原因就是客户端无法验证服务端证书,导致HTTPS连接建立失败。可不可以不验证服务端证书?可以 但在公网环境不建议这么做,如果不验证服务端,你可能访问的并不是你想访问的服务端 证书如何保证服务端不被伪造 如何保证客户端收到的服务端公钥没有被伪造?答案就是第三方权威机构CA 证书申请流程:服务端需要将自己的信息和公钥发给CA,CA根据服务端发送过来的内容进行HASH,然后用CA私钥加密得到签名,将签名和CSR文件同时写入一个文件即为证书,而访问端通过CA根证书(包含CA公钥)解密服务端证书中的签名可以确认服务端身份,身份确认后就可以从服务端证书中CSR文件内拿到服务端的公钥 为什么要先HASH...
