Аутентификация от одного модуля к другому в Кубернетесе

Question

Как я могу аутентифицировать пакет из другого модуля? Я вижу, что могу использовать служебные учетные записи для аутентификации на сервере API, но что, если я хочу использовать тот же процесс аутентификации при вызове другого модуля?

Я хочу иметь возможность безопасно определить, какой модуль вызывает другой модуль. .

Answer 1

То, что вы используете, это TokenReview API . Вы должны взять токен ServiceAccount из одного модуля и отправить его другому. Затем они запускают TokenReview для проверки JWT. Если вы извлекаете открытую половину ключа подписи, вы также можете использовать его для прямой проверки подписей JWT (детали зависят от того, как вы развертываете k8s и управляете ими). Как упомянуто в комментарии, большинство сервисных сеточных инструментов также предлагают это, обычно через TLS.