kubelet 的 HTTPS 端点公开了 API， 这些 API 可以访问敏感度不同的数据， 并允许你在节点上和容器内以不同级别的权限执行操作。

本文档介绍了如何对 kubelet 的 HTTPS 端点的访问进行认证和鉴权。

默认情况下，未被已配置的其他身份认证方法拒绝的对 kubelet 的 HTTPS 端点的请求会被视为匿名请求， 并被赋予 system:anonymous 用户名和 system:unauthenticated 组。

要禁用匿名访问并向未经身份认证的请求发送 401 Unauthorized 响应，请执行以下操作：

要对 kubelet 的 HTTPS 端点启用 X509 客户端证书认证：

要启用 API 持有者令牌（包括服务帐户令牌）以对 kubelet 的 HTTPS 端点进行身份验证，请执行以下操作：

任何成功通过身份验证的请求（包括匿名请求）之后都会被鉴权。 默认的鉴权模式为 AlwaysAllow，它允许所有请求。

细分对 kubelet API 的访问权限可能有多种原因：

要细分对 kubelet API 的访问权限，请将鉴权委派给 API 服务器：

kubelet 使用与 API 服务器相同的 请求属性 方法对 API 请求执行鉴权。

请求的动词根据传入请求的 HTTP 动词确定：

资源和子资源是根据传入请求的路径确定的：

名字空间和 API 组属性始终是空字符串， 资源名称始终是 kubelet 的 Node API 对象的名称。

在此模式下运行时，请确保传递给 API 服务器的由 --kubelet-client-certificate 和 --kubelet-client-key 标志标识的用户具有以下属性的鉴权：

此页是否对你有帮助？

感谢反馈。如果你有一个关于如何使用 Kubernetes 的具体问题需要答案，可以访问 Stack Overflow. 在 GitHub 仓库上登记新的问题 报告问题 或者 提出改进建议.