编辑“︁Kubernetes认证”︁（章节）

== 主要认证方式详解 ==

=== 1. 客户端证书认证 ===
通过X.509证书验证客户端身份，是最常见的生产环境认证方式。

==== 生成证书示例 ====
<syntaxhighlight lang="bash">
# 生成私钥
openssl genrsa -out user.key 2048

# 生成证书签名请求（CSR）
openssl req -new -key user.key -out user.csr -subj "/CN=alice/O=developers"

# 使用集群CA签发证书
openssl x509 -req -in user.csr -CA /path/to/ca.crt -CAkey /path/to/ca.key -CAcreateserial -out user.crt -days 365
</syntaxhighlight>

==== 配置kubeconfig ====
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Config
users:
- name: alice
  user:
    client-certificate: /path/to/user.crt
    client-key: /path/to/user.key
</syntaxhighlight>

=== 2. Bearer Token认证 ===
适用于服务账户和静态令牌认证。

==== 服务账户令牌示例 ====
Kubernetes自动为每个命名空间创建默认服务账户并生成关联的令牌：
<syntaxhighlight lang="bash">
# 查看服务账户令牌
kubectl get secret -n default
kubectl describe secret default-token-xxxxx -n default
</syntaxhighlight>

输出示例：
<pre>
Name:         default-token-xxxxx
Type:  kubernetes.io/service-account-token
Data
====
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6...
ca.crt:     1066 bytes
namespace:  7 bytes
</pre>

=== 3. OpenID Connect认证 ===
集成企业身份提供商（如Azure AD、Google等）的标准协议。

==== 配置示例 ====
API服务器启动参数：
<syntaxhighlight lang="bash">
--oidc-issuer-url=https://accounts.google.com
--oidc-client-id=your-client-id
--oidc-username-claim=email
--oidc-groups-claim=groups
</syntaxhighlight>