k8s启用 API server 认证

在 Kubernetes 中，API Server 是集群中的控制中心，所有的 Kubernetes API 调用都通过 API Server 进行。API Server 认证是 Kubernetes 中非常重要的一环，它确保了只有经过身份验证的用户才能够访问 Kubernetes API，并限制了用户能够访问的资源和操作。

Kubernetes 支持多种认证方式，例如 X.509 证书、Token、基于 HTTP Header 的认证等。下面我们以 X.509 证书认证为例，介绍如何启用 API Server 认证：

1. 生成证书和私钥

首先，需要使用 OpenSSL 工具生成证书和私钥。可以使用以下命令生成一个自签名的证书和私钥：

openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout tls.key -out tls.crt -subj "/CN=kube-apiserver"

该命令生成一个有效期为 365 天的自签名证书和私钥，可以使用 -subj 参数指定证书的主题（这里指定为 kube-apiserver）。

2. 配置 API Server

启用 API Server 认证需要在 kube-apiserver 的启动参数中添加以下配置项：

--tls-cert-file=<path/to/tls.crt>
--tls-private-key-file=<path/to/tls.key>
--client-ca-file=<path/to/ca.crt>
--authentication-mode=x509

其中，--tls-cert-file 和 --tls-private-key-file 分别指定 TLS 证书和私钥的路径，--client-ca-file 指定用于验证客户端证书的 CA 证书的路径，--authentication-mode 设置认证方式为 x509。

3. 配置 kubectl

为了使用证书进行认证，需要在 kubectl 的配置文件中添加以下配置项：

apiVersion: v1
kind: Config
clusters:
- name: my-cluster
  cluster:
    certificate-authority: /path/to/ca.crt
users:
- name: my-user
  user:
    client-certificate: /path/to/tls.crt
    client-key: /path/to/tls.key
contexts:
- name: my-context
  context:
    cluster: my-cluster
    user: my-user
current-context: my-context

其中，certificate-authority 指定用于验证服务器证书的 CA 证书的路径，client-certificate 和 client-key 分别指定客户端证书和私钥的路径。

4. 测试认证

完成上述步骤后，可以使用 kubectl 命令测试认证是否生效。例如，使用以下命令查看所有的 Pod：

kubectl get pods

如果认证配置正确，则应该能够成功列出 Pod。如果认证失败，则会提示需要提供证书和私钥。