1
条回答
写回答
写回答
-
身份验证,集群所有的组件,例如运行在节点上的kubelet,以及发出kubectl命令的用户,都需要与API Server交互。为了处理请求,API Server首先验证是谁发出请求,服务器首选需要建立调用者的身份。用户账户和服务账号常用于集群中用户的访问和服务的调用。
首先应针对性的设置不同的服务账号,而不是启用默认的Service账户,防止被滥用和无法跟踪的风险。其次,根据集群部署的规模和用户组织的策略,可使用不同的验证策略:如静态密码、令牌、X.509证书、OADC(JWT),也可以与其他的验证协议LDAP、SAML、Kerberos集成。根据业界优秀实践,在验证中引入上下文的验证。如果不能使用第三方Idp,首选X.509证书方式,需要确保组织人员的凭据是唯一的,并执行生命周期的管理。
2021-12-14 14:16:58赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
