当对 k8s API 的 request 到来时,它经过几个 stages ,如下图所示:
即 认证 、 授权 、 Admission(准入) 3个阶段
传输层安全
首先是 传输层安全 , api server 使用 TLS协议 , 服务于 443端口
认证
集群管理员配置 api server 运行 1个或多个 认证模块 。
发送给 认证模块 的输入为整个 HTTP 请求 , 虽然它只是检查 header 和/或 客户端证书
认证模块 包含
- 客户端证书
- 密码
- plain tokens
- bootstrap tokens
- JSON Web Tokens(JWT,用于 service accounts)
可以设置多个 认证模块 , 它们依次尝试,直到其中的某个成功后就不再执行后面的认证模块,立即进入授权阶段。
它们执行的顺序没有保证 。
如果不能被认证, api server 返回 401状态码
否则,访问者将会被认证为某个特定的 username , 并且这个 username 用于后续的授权步骤。
一些 认证模块 还会提供用户的 group memberships
虽然 k8s 使用 username 用来进行访问控制和日志记录,但是它没有 User 对象 ,也不会在其 API 中存储 usernames 或用户的其他信息
授权
从 3个维度进行授权 :
- requester username
- requested action
- object affected by the action
如果有存在的 Policy 声明 允许 user 对 object 执行 action ,则认为被授权
可以设置多个 授权模块 , 例如 ABAC 、 RBAC 、 Webhook 。
只要它们中的任意一个 授权了请求 , 则表示授权成功。
如果不能被授权, api server 返回 403状态码
Admission control(准入控制)
Admission control module 是用来 修改或拒绝 请求的 软件模块。
Admission control module 可以访问正在创建或修改的对象的内容
Admission controller 作用于对象的 create,modify,delete 的操作, 对 read 操作不起作用。
当存在多个 Admission controller 时,它们 依次被调用
如果任何一个 Admission controller 拒绝了请求,则请求会被拒绝
除了可以拒绝请求外, Admission controller 还可以修改对象的内容
注意 :
Admission controller 参考文章: https://www.jianshu.com/p/a830a3526287
Admission controller 并不等同于 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook , 后者只是 Admission Controller 中的2个特定的控制器, Admission controller 还包含许多其他的控制器
上面所说 "当存在多个 Admission controller 时,它们 依次被调用" 指的是不同的控制器被依次调用,并不是说不同的webhook被依次调用, 实际上 ValidatingAdmissionWebhook 是 并行调用 匹配请求的 ValidatingWebhookConfiguration
Admission Controllers(准入控制器) 控制过程分2个阶段, 第一个阶段为 mutating , 然后是SchemaValidation(这步不是 Admission Controllers(准入控制器) 的工作), 然后是 validating .
Validation object
通过了 Admission controller 之后,还要对对象进行验证例程, 然后将其写入对象存储
注意 : 该步骤其实是在 Admission controller 的 mutating 之后, validating 之前执行
API server ports and IPs
默认情况下, api server 服务于两个 HTTP 端口
- localhost 端口
- 用于 测试和bootstrap,以及master node上的其他组件(scheduler、controller-manager)访问 api server
- no TLS , 即 insecure
- 默认端口
8080, 使用--insecure-port更改 - 默认IP为
localhost, 使用--insecure-bind-address更改 - 请求 bypass(略过) 认证和授权模块
- 请求 仍然受 admission control 控制
- 没有主机访问权限 不能访问
- secure 端口
- 任何时候都可用
- 使用 TLS 。 使用
--tls-cert-file和--tls-private-key-file配置证书 - 默认端口
6443, 使用--secure-port更改 - 默认IP为
第一个非本地网络接口, 使用--bind-address更改 - 请求 受 认证和授权模块 控制
- 请求 受 admission control 控制