k8s自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象。在Kubernetes的访问控制流程中,用户模型是通过请求方的访问控制凭证(如kubectl使用的kube-config中的证书、Pod中引入的ServerAccount)产生的。
Kubernetes API的请求从发起到其持久化入库的流程如图:
可以看到,一个请求会经过api-server的三种验证。分别为认证(ca证书…)、授权(rbac…)、准入。**
若有收获,就点个赞吧
0 人点赞
