第 1 章 身份验证和授权概述


1.1. OpenShift Container Platform 身份验证和授权的常见术语表

此术语表定义了 OpenShift Container Platform 身份验证和授权中使用的常用术语。

身份验证
身份验证决定了对 OpenShift Container Platform 集群的访问,并确保只有经过身份验证的用户可以访问 OpenShift Container Platform 集群。
授权
授权决定识别的用户是否有权限来执行所请求的操作。
bearer 令牌
bearer 令牌用于通过标头 Authorization: Bearer <token> 向 API 进行身份验证。
Cloud Credential Operator
Cloud Credential Operator(CCO) 将云供应商凭证作为自定义资源定义 (CRD) 进行管理。
配置映射
配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射中的数据。在 pod 中运行的应用程序可以使用这个数据。
containers
包括软件及其所有依赖项的轻量级和可执行镜像。由于容器虚拟化操作系统,因此您可以在数据中心、公共云或私有云或本地主机中运行容器。
自定义资源 (CR)
CR 是 Kubernetes API 的扩展。
group
组是一组用户。组可用于一次性向多个用户授予权限。
HTPasswd
htpasswd 更新存储 HTTP 用户验证的用户名和密码的文件。
Keystone
Keystone 是一个 Red Hat OpenStack Platform (RHOSP)项目,提供身份、令牌、目录和策略服务。
轻量级目录访问协议 (LDAP)
LDAP 是查询用户信息的协议。
手动模式
在手动模式中,用户管理云凭证而不是 Cloud Credential Operator(CCO)。
Mint 模式
Mint 模式是 Cloud Credential Operator(CCO)的默认和推荐的最佳实践设置,用于支持它的平台。在这个模式下,CCO 使用提供的管理员级云凭证为集群中组件创建新凭证,且只具有所需的特定权限。
namespace
命名空间隔离所有进程可见的特定系统资源。在一个命名空间中,只有属于该命名空间的进程才能看到这些资源。
node
节点是 OpenShift Container Platform 集群中的 worker 机器。节点是虚拟机 (VM) 或物理计算机。
OAuth 客户端
OAuth 客户端用于获取 bearer 令牌。
OAuth 服务器
OpenShift Container Platform control plane 包含内置的 OAuth 服务器,用于决定用户身份来自配置的身份提供程序并创建访问令牌。
OpenID Connect
OpenID Connect 是一种协议,用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站点。
passthrough 模式
在 passthrough 模式中,Cloud Credential Operator(CCO)将提供的云凭证传递给请求云凭证的组件。
pod
pod 是 Kubernetes 中的最小逻辑单元。pod 由一个或多个容器组成,可在 worker 节点上运行。
常规用户
首次登录时或通过 API 自动创建的用户。
请求标头(Request header)
请求标头是一个 HTTP 标头,用于提供有关 HTTP 请求上下文的信息,以便服务器可以跟踪请求的响应。
基于角色的访问控制 (RBAC)
重要的安全控制,以确保集群用户和工作负载只能访问执行其角色所需的资源。
服务帐户
服务帐户供集群组件或应用程序使用。
系统用户
安装集群时自动创建的用户。
users
用户是可以向 API 发出请求的实体。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.