第 26 章 安全 API
26.1. 安全 API 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- 描述
CertificateSigningRequest 对象提供了一种机制,可通过提交证书签名请求来获取 x509 证书,并使其异步批准和发布。
kubelet 使用此 API 获取:1。客户端证书向 kube-apiserver 进行身份验证(使用 "kubernetes.io/kube-apiserver-client-kubelet" signerName)。2. 为 TLS 端点 kube-apiserver 提供证书可以安全地连接到(使用 "kubernetes.io/kubelet-serving" signerName)。
此 API 可以用来请求客户端证书来向 kube-apiserver 进行身份验证(使用 "kubernetes.io/kube-apiserver-client" signerName),或者从自定义非 Kubernetes 签名证书获取证书。
- 类型
-
对象
- 描述
- CredentialsRequest 是 credentialsrequests API 的 Schema
- 类型
-
对象
- 描述
-
PodSecurityPolicyReview 检查哪个服务帐户(而非用户,因为在集群范围内)可以创建
PodTemplateSpec
。 - 类型
-
对象
- 描述
- PodSecurityPolicySelfSubjectReview 检查此用户/SA 元组是否可以创建 PodTemplateSpec
- 类型
-
对象
- 描述
- PodSecurityPolicySubjectReview 检查特定用户/SA 元组是否可以创建 PodTemplateSpec。
- 类型
-
对象
26.1.6. RangeAllocation [security.openshift.io/v1] 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- 描述
- 使用 RangeAllocation,因此我们可以轻松为安全组公开范围类型
- 类型
-
对象
26.1.7. Secret [v1] 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- 描述
- secret 包含特定类型的 secret 数据。Data 字段中值的总字节必须小于 MaxSecretSize 字节。
- 类型
-
对象
- 描述
- SecurityContextConstraints 监管发出影响将应用到容器的 SecurityContext 的请求的功能。历史原因 SCC 在 Kubernetes API 核心组下公开。该暴露已弃用,并将在以后的发行版本中删除 - 用户应使用 security.openshift.io 组来管理 SecurityContextConstraints。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
对象
26.1.9. ServiceAccount [v1] 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- 描述
- ServiceAccount 绑定:一个名称,由用户理解,由外设系统理解,对于 身份,一个可以被验证并授权了一组 secret 的主体
- 类型
-
对象