Kubernetes: kube-apiserver 之認證

lubanseven發表於2023-11-08

kubernetes:kube-apiserver 系列文章：

0. 前言

kube-apiserver 不僅負責 RESTful API 路由的建立，也負責請求的認證，授權和准入。如下圖所示：

本篇文章將介紹 kube-apiserver 的認證機制。

1. 認證 Authentication

認證是對請求的認證，確認請求是否具有訪問 Kubernetes 叢集的許可權。在 kube-apiserver 中，透過 handler 處理請求的認證，所有請求都將透過認證 handler 進行認證。可以把它理解成 Gin 框架的中介軟體。

1.1 認證 handler

首先，從認證 handler 的建立過程入手。

# kubernetes/vendor/k8s.io/apiserver/pkg/server/config.go
// 進入 GenericAPIServer 的建立函式 New
func (c completedConfig) New(name string, delegationTarget DelegationTarget) (*GenericAPIServer, error) {
	handlerChainBuilder := func(handler http.Handler) http.Handler {
		return c.BuildHandlerChainFunc(handler, c.Config)
	}


	apiServerHandler := NewAPIServerHandler(name, c.Serializer, handlerChainBuilder, delegationTarget.UnprotectedHandler())
    ...
}

# kubernetes/vendor/k8s.io/apiserver/pkg/server/config.go
func NewAPIServerHandler(name string, s runtime.NegotiatedSerializer, handlerChainBuilder HandlerChainBuilderFn, notFoundHandler http.Handler) *APIServerHandler {
	...

	director := director{
		name:               name,
		goRestfulContainer: gorestfulContainer,
		nonGoRestfulMux:    nonGoRestfulMux,
	}

	return &APIServerHandler{
        // 建立 FullHandlerChain
		FullHandlerChain:   handlerChainBuilder(director),
		GoRestfulContainer: gorestfulContainer,
		NonGoRestfulMux:    nonGoRestfulMux,
		Director:           director,
	}
}

這裡 FullHandlerChain 內裝有認證 handler。繼續看哪裡定義 handlerChainBuilder 函式的。

# kubernetes/vendor/k8s.io/apiserver/pkg/server/config.go
func NewConfig(codecs serializer.CodecFactory) *Config {
	return &Config{
        ...
		BuildHandlerChainFunc:          DefaultBuildHandlerChain,
    }
}

# kubernetes/vendor/k8s.io/apiserver/pkg/server/config.go
func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
    handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences, c.Authentication.RequestHeaderConfig)
    return handler
}

# kubernetes/vendor/k8s.io/apiserver/pkg/endpoints/filters/authentication.go
func WithAuthentication(handler http.Handler, auth authenticator.Request, failed http.Handler, apiAuds authenticator.Audiences, requestHeaderConfig *authenticatorfactory.RequestHeaderConfig) http.Handler {
	return withAuthentication(handler, auth, failed, apiAuds, requestHeaderConfig, recordAuthenticationMetrics)
}

在建立配置 Config 時，將 DefaultBuildHandlerChain 賦值給 BuildHandlerChainFunc。DefaultBuildHandlerChain 內的 genericapifilters.WithAuthentication 建立了認證 handler。

接著往下走，進入 genericapifilters.WithAuthentication。

func withAuthentication(handler http.Handler, auth authenticator.Request, failed http.Handler, apiAuds authenticator.Audiences, requestHeaderConfig *authenticatorfactory.RequestHeaderConfig, metrics authenticationRecordMetricsFunc) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
		resp, ok, err := auth.AuthenticateRequest(req)

		// authorization header is not required anymore in case of a successful authentication.
		req.Header.Del("Authorization")

		req = req.WithContext(genericapirequest.WithUser(req.Context(), resp.User))
		handler.ServeHTTP(w, req)
	})
}

type Request interface {
	AuthenticateRequest(req *http.Request) (*Response, bool, error)
}

可以看到，認證 handler 中透過 auth.AuthenticateRequest(req) 對 RESTful API 請求進行認證。這裡 auth 是一個實現 Request 介面的例項。

那麼，auth 例項是在哪裡建立的呢，呼叫的 AuthenticateRequest 方法具體做的是什麼呢？帶著這個問題我們看下一節認證例項。

1.2 認證例項

透過層層回溯找到呼叫點。

handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences, c.Authentication.RequestHeaderConfig)

這裡 c.Authentication.Authenticator 即為 auth 的例項。我們看 c.Authentication.Authenticator 是在哪裡建立的。

# kubernetes/pkg/controlplane/apiserver/config.go
func BuildGenericConfig(
	s controlplaneapiserver.CompletedOptions,
	schemes []*runtime.Scheme,
	getOpenAPIDefinitions func(ref openapicommon.ReferenceCallback) map[string]openapicommon.OpenAPIDefinition,
) (
	genericConfig *genericapiserver.Config,
	versionedInformers clientgoinformers.SharedInformerFactory,
	storageFactory *serverstorage.DefaultStorageFactory,

	lastErr error,
) {
    // Authentication.ApplyTo requires already applied OpenAPIConfig and EgressSelector if present
	if lastErr = s.Authentication.ApplyTo(&genericConfig.Authentication, genericConfig.SecureServing, genericConfig.EgressSelector, genericConfig.OpenAPIConfig, genericConfig.OpenAPIV3Config, clientgoExternalClient, versionedInformers); lastErr != nil {
		return
	}
}

# kubernetes/pkg/kubeapiserver/options/authentication.go
func (o *BuiltInAuthenticationOptions) ApplyTo(authInfo *genericapiserver.AuthenticationInfo, secureServing *genericapiserver.SecureServingInfo, egressSelector *egressselector.EgressSelector, openAPIConfig *openapicommon.Config, openAPIV3Config *openapicommon.Config, extclient kubernetes.Interface, versionedInformer informers.SharedInformerFactory) error {
	authenticatorConfig, err := o.ToAuthenticationConfig()
	if err != nil {
		return err
	}

    ...

	authInfo.Authenticator, openAPIConfig.SecurityDefinitions, err = authenticatorConfig.New()
}

c.Authentication.Authenticator 實際是 authenticatorConfig.New() 建立的 authInfo.Authenticator 認證器。進入 authenticatorConfig.New() 看建立認證器過程。

# kubernetes/pkg/controlplane/apiserver/config.go
func (config Config) New() (authenticator.Request, *spec.SecurityDefinitions, error) {
	var authenticators []authenticator.Request
	var tokenAuthenticators []authenticator.Token
	securityDefinitions := spec.SecurityDefinitions{}

	// front-proxy, BasicAuth methods, local first, then remote
	// Add the front proxy authenticator if requested
	if config.RequestHeaderConfig != nil {
		requestHeaderAuthenticator := headerrequest.NewDynamicVerifyOptionsSecure(
			config.RequestHeaderConfig.CAContentProvider.VerifyOptions,
			config.RequestHeaderConfig.AllowedClientNames,
			config.RequestHeaderConfig.UsernameHeaders,
			config.RequestHeaderConfig.GroupHeaders,
			config.RequestHeaderConfig.ExtraHeaderPrefixes,
		)
		authenticators = append(authenticators, authenticator.WrapAudienceAgnosticRequest(config.APIAudiences, requestHeaderAuthenticator))
	}

	// X509 methods
	if config.ClientCAContentProvider != nil {
		certAuth := x509.NewDynamic(config.ClientCAContentProvider.VerifyOptions, x509.CommonNameUserConversion)
		authenticators = append(authenticators, certAuth)
	}

    ...

    authenticator := union.New(authenticators...)
	authenticator = group.NewAuthenticatedGroupAdder(authenticator)
    return authenticator, &securityDefinitions, nil
}

# kubernetes/vendor/k8s.io/apiserver/pkg/authentication/request/union/union.go
func New(authRequestHandlers ...authenticator.Request) authenticator.Request {
	if len(authRequestHandlers) == 1 {
		return authRequestHandlers[0]
	}
	return &unionAuthRequestHandler{Handlers: authRequestHandlers, FailOnError: false}
}

# kubernetes/vendor/k8s.io/apiserver/pkg/authentication/group/authenticated_group_adder.go
func NewAuthenticatedGroupAdder(auth authenticator.Request) authenticator.Request {
	return &AuthenticatedGroupAdder{auth}
}

可以看到，認證器是一系列認證器的組合。每個認證器包括組合的認證器都實現了 authenticator.Request 介面的 AuthenticateRequest 方法。

回頭看在 handler 中定義的 auth.AuthenticateRequest(req) 方法，實際執行的是 authenticator.AuthenticateRequest(req)。

# kubernetes/vendor/k8s.io/apiserver/pkg/authentication/group/authenticated_group_adder.go
func (g *AuthenticatedGroupAdder) AuthenticateRequest(req *http.Request) (*authenticator.Response, bool, error) {
	r, ok, err := g.Authenticator.AuthenticateRequest(req)
	if err != nil || !ok {
		return nil, ok, err
	}
}

# kubernetes/vendor/k8s.io/apiserver/pkg/authentication/request/union/union.go
func (authHandler *unionAuthRequestHandler) AuthenticateRequest(req *http.Request) (*authenticator.Response, bool, error) {
	var errlist []error
	for _, currAuthRequestHandler := range authHandler.Handlers {
		resp, ok, err := currAuthRequestHandler.AuthenticateRequest(req)
		if err != nil {
			if authHandler.FailOnError {
				return resp, ok, err
			}
			errlist = append(errlist, err)
			continue
		}

		if ok {
			return resp, ok, err
		}
	}

	return nil, false, utilerrors.NewAggregate(errlist)
}

透過層層呼叫，最終執行到 unionAuthRequestHandler.AuthenticateRequest。該方法中迴圈執行各個認證器的 AuthenticateRequest 方法，直到認證成功。

各認證器的認證方式不同，這裡就不過多介紹了，具體涉及到各種認證方式的時候可詳細看相應認證器的 AuthenticateRequest 方法。

2. 總結

透過本篇文章介紹了 kube-apiserver 中的 Authentication 認證流程，下一篇將繼續介紹 kube-apiserver 的 Authorization 授權流程。

Kubernetes:kube-apiserver 之准入
2023-11-14
APIServer
Kubernetes:kube-apiserver 之鑑權
2023-11-09
APIServer
Kubernetes原始碼分析之kube-apiserver
2019-03-22
原始碼APIServer
Kubernetes:kube-apiserver 之啟動流程(二)
2023-11-04
APIServer
Kubernetes認證入門指南
2021-06-03
HTTP認證之基本認證——Basic（一）
2019-06-12
HTTP
HTTP認證之基本認證——Basic（二）
2019-06-13
HTTP
Kubernetes客戶端認證（二）—— 基於ServiceAccount的JWTToken認證
2023-04-11
客戶端JWT
Kubernetes客戶端認證——基於CA證書的雙向認證方式
2023-04-10
客戶端
認證授權方案之JwtBearer認證
2020-06-19
JWT
HTTP認證之摘要認證——Digest（一）
2019-06-24
HTTP
kubernetes實踐之七：安全機制API Server認證之Service Account Token
2018-03-21
APIServer
Kubernetes:kube-apiserver 和 etcd 的互動
2023-11-05
APIServer
SpringSecurity之認證
2020-11-20
SpringGse
DRF之JWT認證
2024-04-27
JWT
DRF內建認證元件之自定義認證系統
2020-08-12
元件
『高階篇』docker之kubernetes搭建叢集新增認證授權（上）（38）
2019-02-26
Docker
【認證與授權】Spring Security系列之認證流程解析
2020-04-27
Spring
03-【Kubernetes理論知識】kubernetes認證、授權、准入控制
2020-12-18
Laravel——Api認證之Passport使用
2017-12-11
LaravelAPIPassport
Kubernetes客戶端認證（三）—— Kubernetes使用CertificateSigningRequest方式簽發客戶端證書
2024-03-24
客戶端
認證系統之登入認證系統的進階使用 (二)
2020-12-14
前端架構之node jwt認證
2018-08-18
前端架構JWT
安全測試之認證授權
2013-12-06
PHP介面HTTP安全認證之Basic模式
2018-11-19
PHPHTTP模式
k8s之API Server認證
2021-01-10
K8SAPIServer
Django基礎八之認證模組---auth
2022-03-21
Django
Oracle中兩種認證方式：OS認證與口令檔案認證
2017-08-15
Oracle
認證授權方案之授權初識
2020-06-28
Django之使用者認證模組詳解
2021-09-11
Django
Spring Security系列之認證過程(六)
2018-12-19
Spring
Java認證 SCJP 之精闢總結 (轉)
2007-08-15
Java
URL載入系統之四：認證與TLS鏈驗證
2018-01-03
TLS
Laravel 認證原理及完全自定義認證
2017-02-13
Laravel
網路身份認證——Kerberos配置及認證
2017-12-13
ROS
【python之DRF學習】三大方法之認證
2024-04-17
Python
增強版實名認證介面-Java身份證實名認證介面程式碼-身份認證
2024-03-13
Java
Passport 認證
2019-01-17
Passport