K8s的用户和权限管理包括两个方面：认证和授权。认证解决用户是谁的问题，授权解决用户能做什么的问题。通过合理的权限管理，能够保证系统的安全可靠。

Kubernetes提供了三种级别的客户端认证方式：

• HTTPS证书认证，是基于CA根证书签名的双向数字证书认证方式，是最严格的认证
• HTTP Token认证，通过Token识别每个合法的用户
• HTTP Basic认证

HTTP Token认证和Http Basic认证是相对简单的认证方式，Kubernetes的各组件与Api Server的通信方式仍然是HTTPS，但不再使用CA数字证书。

证书认证

使用kubeadm初始化的Kubernetes集群中，kube-apiserver是以静态Pod的形式运行在Master Node上。 可以在Master Node上找到其定义文件/etc/kubernetes/manifests/kube-apiserver.yaml，其中启动命令参数部分如下：

 "containers": [
      {
        "name": "kube-apiserver",
        "image": "gcr.io/google_containers/kube-apiserver-amd64:v1.5.2",
        "command": [
          "kube-apiserver",
          "--insecure-bind-address=127.0.0.1",
          "--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota",
          "--service-cluster-ip-range=10.96.0.0/12",
          "--service-account-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--client-ca-file=/etc/kubernetes/pki/ca.pem",
          "--tls-cert-file=/etc/kubernetes/pki/apiserver.pem",
          "--tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--token-auth-file=/etc/kubernetes/pki/tokens.csv",
          "--secure-port=6443",
          "--allow-privileged",
          "--advertise-address=192.168.61.100",
          "--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname",
          "--anonymous-auth=false",
          "--etcd-servers=http://127.0.0.1:2379"
        ],

部分参数说明：
--client-ca-file: 指定CA根证书文件为/etc/kubernetes/pki/ca.pem，内置CA公钥用于验证某证书是否是CA签发的证书
--tls-private-key-file: 指定ApiServer私钥文件为/etc/kubernetes/pki/apiserver-key.pem
--tls-cert-file： 指定ApiServer证书文件为/etc/kubernetes/pki/apiserver.pem
说明Api Server已经启动了HTTPS证书认证，此时如果在集群外部使用浏览器访问 https://master:6443/api会提示Unauthorized。
设置apiserver的启动参数：--client_ca_file=SOMEFILE。

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=k8stest" -days 10000 -out ca.crt

openssl x509 -noout -text -in ca.crt

openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=master.k8stest" -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000

openssl x509 -noout -text -in server.crt

openssl genrsa -out winway.key 2048
openssl req -new -key winway.key -subj "/CN=winway" -out winway.csr
openssl x509 -req -in winway.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out winway.crt -days 10000

证书分四类

• ca.pem - 私有CA根证书
• kubernetes.pem - 与 node 通信的，
• kube-proxy.pem - k8s 与容器通信的
• admin.pem - kubectl 管理用

Token认证

设置apiserver的启动参数：--token_auth_file=SOMEFILE。

#cat tokens.csv
abcdTOKEN1234,winway,winway

基本信息认证

设置apiserver的启动参数：--basic_auth_file=SOMEFILE。

$ cat password.csv
123456,winway,winway
$ echo -n "winway:123456" | base64
d2FuZ3dlaToxMjM0NTY=

配置生效

$ vim /etc/kubernetes/apiserver
KUBE_API_ARGS="--client-ca-file=/home/winway/ca.crt --tls-cert-file=/home/winway/server.crt --tls-private-key-file=/home/winway/server.key --token_auth_file=/home/winway/tokens.csv --basic-auth-file=/home/winway/password.csv"

systemctl restart kube-apiserver

测试

curl --cacert ./ca.crt --key ./winway.key --cert ./winway.crt 'https://master.k8stest:6443'

curl --cacert ./ca.crt  -H "Authorization: Bearer abcdTOKEN1234" 'https://master.k8stest:6443'

curl --cacert ./ca.crt  -H "Authorization: Basic d2FuZ3dlaToxMjM0NTY=" 'https://master.k8stest:6443'