系统(非自然人)调用K8sAPI的时候如何进行权限控制,使用certs还是serviceaccount或者集成oidc?

证书具有比较灵活的时效控制,但需要独立的证书签发平台;
serviceaccount需要第三方系统部署在kubernetes平台内
集成oidc看上去更像是自然人的访问逻辑,而非系统调用。

想请问下各位专家,一般是如何设计的呢?

参与8

3同行回答

mtming333mtming333  系统架构师 , 某电子支付
k8s从1.8版本开始,默认要求集群中各个组件使用TLS证书对通信进行加密,每个k8s集群都需要有独立的CA证书体系。显示全部

k8s从1.8版本开始,默认要求集群中各个组件使用TLS证书对通信进行加密,每个k8s集群都需要有独立的CA证书体系。

收起
互联网服务 · 2020-07-08
浏览1024
youki2008youki2008  系统架构师 , DDT
k8s的认证有一套自己的体制,目前默认的是rbac显示全部

k8s的认证有一套自己的体制,目前默认的是rbac

收起
互联网服务 · 2020-07-13
浏览948
埃里克埃里克  资深解决方案架构师 , 红帽企业级开源解决方案中心
如果是部署在集群中的应用需要调用,内部调用,就通过 SA 方式如果是外部调用 OpenShift API, 可以生成 bearer token,bearer token是通过oc login系统产生,可以是临时的也可以是永久的,他的权限其实是你登录用户名在集群中的访问权限。...显示全部

如果是部署在集群中的应用需要调用,内部调用,就通过 SA 方式
如果是外部调用 OpenShift API, 可以生成 bearer token,bearer token是通过oc login系统产生,可以是临时的也可以是永久的,他的权限其实是你登录用户名在集群中的访问权限。

收起
IT咨询服务 · 2020-07-09
浏览1026

提问者

ljosef
系统架构师某股份制银行
擅长领域: 云计算容器容器云

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2020-07-08
  • 关注会员:4 人
  • 问题浏览:2102
  • 最近回答:2020-07-13
  • X社区推广