第 1 章 身份验证和授权概述
1.1. OpenShift Container Platform 身份验证和授权的常见术语表
此术语表定义了 OpenShift Container Platform 身份验证和授权中使用的常用术语。
- 身份验证
- 身份验证决定了对 OpenShift Container Platform 集群的访问,并确保只有经过身份验证的用户可以访问 OpenShift Container Platform 集群。
- 授权
- 授权决定识别的用户是否有权限来执行所请求的操作。
- bearer 令牌
-
bearer 令牌用于通过标头
Authorization: Bearer <token>
向 API 进行身份验证。 - Cloud Credential Operator
- Cloud Credential Operator(CCO) 将云供应商凭证作为自定义资源定义 (CRD) 进行管理。
- 配置映射
-
配置映射提供将配置数据注入 pod 的方法。您可以在类型为
ConfigMap
的卷中引用存储在配置映射中的数据。在 pod 中运行的应用程序可以使用这个数据。 - containers
- 包括软件及其所有依赖项的轻量级和可执行镜像。由于容器虚拟化操作系统,因此您可以在数据中心、公共云或私有云或本地主机中运行容器。
- 自定义资源 (CR)
- CR 是 Kubernetes API 的扩展。
- group
- 组是一组用户。组可用于一次性向多个用户授予权限。
- HTPasswd
- htpasswd 更新存储 HTTP 用户验证的用户名和密码的文件。
- Keystone
- Keystone 是一个 Red Hat OpenStack Platform (RHOSP)项目,提供身份、令牌、目录和策略服务。
- 轻量级目录访问协议 (LDAP)
- LDAP 是查询用户信息的协议。
- 手动模式
- 在手动模式中,用户管理云凭证而不是 Cloud Credential Operator(CCO)。
- Mint 模式
- Mint 模式是 Cloud Credential Operator(CCO)的默认和推荐的最佳实践设置,用于支持它的平台。在这个模式下,CCO 使用提供的管理员级云凭证为集群中组件创建新凭证,且只具有所需的特定权限。
- namespace
- 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中,只有属于该命名空间的进程才能看到这些资源。
- node
- 节点是 OpenShift Container Platform 集群中的 worker 机器。节点是虚拟机 (VM) 或物理计算机。
- OAuth 客户端
- OAuth 客户端用于获取 bearer 令牌。
- OAuth 服务器
- OpenShift Container Platform control plane 包含内置的 OAuth 服务器,用于决定用户身份来自配置的身份提供程序并创建访问令牌。
- OpenID Connect
- OpenID Connect 是一种协议,用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站点。
- passthrough 模式
- 在 passthrough 模式中,Cloud Credential Operator(CCO)将提供的云凭证传递给请求云凭证的组件。
- pod
- pod 是 Kubernetes 中的最小逻辑单元。pod 由一个或多个容器组成,可在 worker 节点上运行。
- 常规用户
- 首次登录时或通过 API 自动创建的用户。
- 请求标头(Request header)
- 请求标头是一个 HTTP 标头,用于提供有关 HTTP 请求上下文的信息,以便服务器可以跟踪请求的响应。
- 基于角色的访问控制 (RBAC)
- 重要的安全控制,以确保集群用户和工作负载只能访问执行其角色所需的资源。
- 服务帐户
- 服务帐户供集群组件或应用程序使用。
- 系统用户
- 安装集群时自动创建的用户。
- users
- 用户是可以向 API 发出请求的实体。