K8S学习之基础三十：k8s的资源访问方式

K8S的资源访问方式

​ k8s主要通过APIserver对外提供服务，需要对访问apiserver的用户做认证。

​ 认证通过后进代表是一个apiserver信任的用户，能访问apiserver，但是如果要有操作集群的权限，还要进行授权操作，常见的授权方式有rbac授权

​ 用户经过认证和授权之后，最后一步就是准入控制了。比如创建pod，还要根据资源限制是否满足等条件限制才能成功。

​ k8s客户端访问apiserver的集中认证方式

​ 1、客户端认证：双向TLS认证，kubectl 在访问apiserver的时候，apiserver也需要认证kubectl是否合法，都会通过ca根证书进行验证。
​
​ 2、Bearertoken 方式，apiserver将一个密码通过非对称加密的方式告诉了kubectl，然后通过该密码进行相互访问
​

​ kubectl访问k8s集群，要找一个kubeconfig文件，基于文件里的用户访问apiserver

​ 3、ServerAccount方式，

​ SA是内部访问pod和apiserver交互时候采用的一种方式。SA包括了ns、token、ca，且通过目录挂载的方式给予pod，当pod运行起来，就会读到这些信息，从而使用该方式也apiserver进行通信

​
​ kubeconfig文件

kubectl config view
apiVersion: v1
clusters:                                       # 集群信息
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://172.16.80.131:6443          # apiserver
  name: kubernetes                        
contexts:
- context:                                      # 上下文信息
    cluster: kubernetes                         # 集群
    user: kubernetes-admin                      # 访问集群的用户
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes    # 当前上下文，当前环境
kind: Config                                    # config资源类型
preferences: {}
users:                                          
- name: kubernetes-admin                         # 管理员用户
  user:
    client-certificate-data: DATA+OMITTED        # 根证书ca签发证书
    client-key-data: DATA+OMITTED                # 根证书ca签发私钥

​

​ kubectl默认会去 /root/.kube下找config文件，也可以手工指定路径

kubectl get pods --kubeconfig=/root/.kube/config
[root@mast01 secret]# kubectl get pods --kubeconfig=/root/.kube/config
NAME                               READY   STATUS      RESTARTS       AGE
nfs-provisioner-7559c6b4fc-nbmb6   1/1     Running     4 (159m ago)   23h
pod-secret                         0/1     Completed   0              22h