K8s服务安全认证机制详解

Kubernetes服务安全认证机制详解

在Kubernetes集群中，服务间的安全认证是保障系统稳定运行的关键环节。本文将详细解析K8s中的服务认证机制，并提供可复现的实践步骤。

API Server认证机制

Kubernetes API Server支持多种认证方式：

1. 客户端证书认证：

# 创建客户端证书
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr -subj "/CN=dev-user/O=dev-team"

2. Token认证：

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-sa
  namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: ServiceAccount
  name: my-sa
  namespace: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

实践验证步骤

1. 创建服务账号并获取token：

kubectl create serviceaccount test-sa
kubectl get secret $(kubectl get sa test-sa -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode

2. 验证API访问权限：

kubectl get pods --token=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

通过以上配置，可以有效控制服务间访问权限，确保集群安全。