kubernetes
/
website
mirror of https://github.com/kubernetes/website.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity

Merge pull request #24068 from gaoguangze111/update-link-controlling-access 

Update link controlling-access
This commit is contained in:
Kubernetes Prow Robot 2020-09-29 05:35:27 -07:00 committed by GitHub
parent 3262b9fde8 21b72674d3
commit fcdc245ed4
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 5 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

10
content/zh/docs/reference/access-authn-authz/controlling-access.md
View File

@ -5,7 +5,7 @@ approvers:
title: Kubernetes API 访问控制
---
用户通过 `kubectl`、客户端库或者通过发送 REST 请求[访问 API](/docs/user-guide/accessing-the-cluster)。 用户和 [Kubernetes 服务账户](/docs/tasks/configure-pod-container/configure-service-account/) 都可以被授权进行 API 访问。
用户通过 `kubectl`、客户端库或者通过发送 REST 请求[访问 API](/zh/docs/tasks/access-application-cluster/access-cluster/)。 用户和 [Kubernetes 服务账户](/zh/docs/tasks/configure-pod-container/configure-service-account/) 都可以被授权进行 API 访问。
请求到达 API 服务器后会经过几个阶段,具体说明如图:
![Diagram of request handling steps for Kubernetes API request](/images/docs/admin/access-control-overview.svg)
@ -20,7 +20,7 @@ API 服务器会提供一份证书。 该证书一般是自签名的, 所以
一旦 TLS 连接建立HTTP 请求就进入到了认证的步骤。即图中的步骤 **1**
集群创建脚本或集群管理员会为 API 服务器配置一个或多个认证模块。
更具体的认证相关的描述详见[这里](/docs/admin/authentication/)。
更具体的认证相关的描述详见[这里](/zh/docs/reference/access-authn-authz/authentication/)。
认证步骤的输入是整个 HTTP 请求,但这里通常只是检查请求头和 / 或客户端证书。
@ -73,13 +73,13 @@ Bootstrap Tokens以及 JWT Tokens用于服务账户
}
}
```
如果 Bob 对 `projectCaribou` 命名空间下的对象发起一个写(`create` 或者 `update`)请求,那么它的授权会被拒绝。 如果 Bob 请求读取 `get`)其他命名空间,例如 `projectFish` 下的对象,其授权也会被拒绝。
如果 Bob 对 `projectCaribou` 命名空间下的对象发起一个写(`create` 或者 `update`)请求,那么它的授权会被拒绝。 如果 Bob 请求读取 `get`)其他命名空间,例如 `projectFish` 下的对象,其授权也会被拒绝。
Kubernetes 的授权要求使用通用的 REST 属性与现有的组织或云服务提供商的访问控制系统进行交互。 采用 REST 格式是必要的,因为除 Kubernetes 外,这些访问控制系统还可能与其他的 API 进行交互。
Kubernetes 支持多种授权模块,例如 ABAC 模式RBAC 模式和 Webhook 模式。 管理员创建集群时,会配置 API 服务器应用的授权模块。 如果多种授权模式同时被启用Kubernetes 将检查所有模块,如果其中一种通过授权,则请求授权通过。 如果所有的模块全部拒绝则请求被拒绝HTTP 状态码 403
要了解更多的 Kubernetes 授权相关信息,包括使用授权模块创建策略的具体说明等,可参考[授权概述](/docs/admin/authorization)。
要了解更多的 Kubernetes 授权相关信息,包括使用授权模块创建策略的具体说明等,可参考[授权概述](/zh/docs/reference/access-authn-authz/authorization/)。
## 准入控制
@ -96,7 +96,7 @@ Kubernetes 支持多种授权模块,例如 ABAC 模式RBAC 模式和 Webhoo
除了拒绝请求外,准入控制器还可以为对象设置复杂的默认值。
可用的准入控制模块描述 [如下](/docs/admin/admission-controllers/)。
可用的准入控制模块描述 [如下](/zh/docs/reference/access-authn-authz/admission-controllers/)。
一旦请求通过所有准入控制器,将使用对应 API 对象的验证流程对其进行验证,然后写入对象存储 (如步骤 **4**)。