在管理與 Kubernetes 語意相關的物體時,讓 Kubernetes 管理它們是有意義的。KubernetesServiceAccount作為資源型別進行管理,但沒有用于人類用戶或組的類似型別。
我想知道這背后的設計決定是什么。我知道它ServiceAccount會在創建時生成一個令牌,用于進一步訪問,并且要以人類用戶身份訪問集群,您需要一個組態檔,其中包含使用 Kubernetes 的 CA 簽名的公鑰。
似乎不一致,為什么不創建類似的資源型別,HumanAccount或者Account在創建時提供公鑰(公鑰即使在 yaml 清單中的普通測驗中也可以安全存盤),以便 Kubernetes 對其進行簽名并從那時起, 接受來自用戶的連接?
我知道證書簽名請求需要得到管理員的批準。也許這就是原因?
任何提示或見解表示贊賞!
uj5u.com熱心網友回復:
RBAC 中實際上存在User物體,但 kubernetes 將這些物體的實體化委托給mTLS身份CN驗證欄位或OIDC 宣告,或者在sub非常定制的情況下,可以通過 HTTP 標頭提供
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/446643.html
上一篇:不想在資料庫中存盤屬性