本文分享自华为云社区《kube-apiserver认证鉴权能力》，作者：可以交个朋友。

HTTPS为什么要进行身份验证

首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver，有图有真相

所以要想了解kube-apiserver认证鉴权，得先从HTTPS说起；接下来我们直接通过API接口访问apiserver

为什么不能访问？准确来说是为什么不能建立HTTPS连接

原因就是客户端无法验证服务端证书，导致HTTPS连接建立失败。可不可以不验证服务端证书？可以

但在公网环境不建议这么做，如果不验证服务端，你可能访问的并不是你想访问的服务端

证书如何保证服务端不被伪造

如何保证客户端收到的服务端公钥没有被伪造？答案就是第三方权威机构CA

证书申请流程：服务端需要将自己的信息和公钥发给CA，CA根据服务端发送过来的内容进行HASH，然后用CA私钥加密得到签名，将签名和CSR文件同时写入一个文件即为证书，而访问端通过CA根证书(包含CA公钥)解密服务端证书中的签名可以确认服务端身份，身份确认后就可以从服务端证书中CSR文件内拿到服务端的公钥

为什么要先HASH一下？因为不管CSR文件多大，经过HASH之后长度固定，加/解密速度更快

防伪关键点就是CA的私钥只有CA机构有，你无法修改证书里面的签名；你也无法用自己的CA私钥伪造签名，因为访问端没有你的CA公钥无法解密；

只要签名无法修改，csr文件的内容修改就毫无意义。

现在我们再访问一次apiserver，这次我们带上K8S集群CA证书试试

有HTTP状态码返回就说明HTTPS连接已建立；完整的HTTPS认证过程如下

想想为什么curl访问https://www.baidu.com不需要指定CA证书？

kubernetes认证方式

上文我们只是验证了服务端，服务端并没有验证客户端，所以我们收到了401的返回码。类似于我虽然接了你的电话，但我首先肯定是想知道你是谁。

apiserver支持三种认证客户端的方式：

HTTPS证书认证：此方式最严格，基于CA根证书签名的双向数字证书认证方式。比如kube-controller-manager、kubelet等
HTTP Token认证：通过一个Token来识别合法用户。比如serviceaccount
HTTP Base认证：通过用户名+密码的方式认证。由于不常用本文不做介绍

Token认证

我们创建一个serviceaccount；1.24版本以上创建serviceaccount不再自动创建secret。

kubectl create sa test

找到以serviceaccount名称开头的secret，拿到其中token字段的值

我们带上token再次访问apiserver，看看效果

返回了403状态码，显示Forbidden；说明我们过了认证，只是没有权限而已

证书认证

使用openssl生成客户端私钥和csr文件；其中/CN字段就是你的用户名；csr文件需要公钥，但命令行却指定的是私钥，是因为oenssl会自动用私钥生产公钥

openssl genrsa -out myuser.key 2048  
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser"

创建 CertificateSigningRequest资源，回忆下上文提到的证书申请过程，我们需要提供什么？

cat <<EOF | kubectl apply -f - 
apiVersion: certificates.k8s.io/v1 
kind: CertificateSigningRequest 
metadata: 
  name: myuser 
spec: 
  request: $(cat myuser.csr | base64 | tr -d "\n") 
  signerName: kubernetes.io/kube-apiserver-client 
  expirationSeconds: 86400  # one day 
  usages: 
  - client auth 
EOF

手动批准证书请求，证书会被保存到csr资源的status.certificate字段，将证书base64解码并写入文件

kubectl certificate approve myuser 
kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

可以用openssl查看证书内容，查看签名字段需要借助其他工具，比如：asn1editor

使用客户端私钥和证书再次访问apiserver

和token访问结果一致，认证通过但未赋权

鉴权机制

上文我们访问apiserver得到了403的返回码，说明我们权限不够，无法获取namespaces资源；为了集群便于管理，我们必须为不同用户设置不同权限。

在K8S集群中完成鉴权机制的是RBAC，RBAC授权规则是通过四种资源来进行配置：

Role：角色，其实是定义一组对Kubernetes资源（命名空间级别）的访问规则
ClusterRole：集群角色，其实是定义一组对Kubernetes资源（集群级别，包含全部命名空间）的访问规则
RoleBinding：角色绑定，定义了用户和角色的关系
ClusterRoleBinding：集群角色绑定，定义了用户和集群角色的关系

有了角色和角色绑定，还缺一个对象，你希望将角色绑定到那个对象上？

在k8s集群中这个对象称为subject主体，主体可以是用户、组或者serviceaccount；

k8s集群中不存在用户资源，你也无法通过命令查到；Kubernetes 使用证书中’subject’的通用名称(Common Name)字段 (例如："/CN=bob")来确定用户名

接下来我们对上文创建的serviaccount和用户myuser赋权

创建集群角色和集群角色绑定

#创建一个集群角色，仅对namespaces资源有get、list和watch权限
kubectl create clusterrole myclusterrole --resource=namespaces --verb=get,list,watch
#将serviceaccount和myuser用户与该集群角色绑定，test和myuser便有了该集群角色的权限
kubectl create clusterrolebinding testuser --clusterrole=myclusterrole --user=myuser  
kubectl create clusterrolebinding testsa --clusterrole=myclusterrole --serviceaccount=default:test

再次使用token或者证书访问apiserver

使用证书访问