全部產品
Search

搜尋本產品

    Container Service for Kubernetes:ack-ram-authenticator

    文件中心

    Container Service for Kubernetes:ack-ram-authenticator

    更新時間:Dec 03, 2025

    通過ack-ram-authenticator組件,可以讓您的ACK託管叢集使用Webhook方式基於阿里雲RAM完成請求認證。本文介紹ack-ram-authenticator組件的功能介紹、使用說明和變更記錄。

    組件介紹

    ack-ram-authenticator組件是面向ACK託管叢集的認證外掛程式,基於Kubernetes原生Webhook Token認證方式,實現通過RAM完成叢集API Server的請求認證。同時,該組件通過CRD形式提供RAM身份和RBAC許可權的映射關係,幫您更靈活地配置RBAC鑒權。

    對於阿里雲SSO角色對接使用ACK託管叢集的情境, ack-ram-authenticator組件可以協助您在請求API Server時,下發要求者身份對應的Session名稱,從而更安全地審計不同使用者在扮演相同角色後對叢集API Server的訪問請求。

    使用ack-ram-authenticator組件後,叢集的Webhook認證流程如下圖所示。

    1111..png

    1. 當使用kubectl等工具發起對API Server的認證請求時,首先通過KubeConfig中的exec命令外掛程式執行機制,執行ack-ram-tool用戶端工具產生簽名後的STS請求URL。

    2. 發送Webhook認證請求到ACK託管叢集API Server,通過Webhook認證配置路由到ack-ram-authenticator組件。

    3. 基於接收到的Token URL請求對阿里雲RAM GetCallerIdentity介面進行認證。若認證成功,在ack-ram-authenticator組件中會尋找介面返回的RAM身份和使用者在指定RAMIdentityMapping的CR中配置的身份映射。

    4. API Server中對映射後的使用者和使用者組身份進行原生RBAC鑒權,並返回鑒權結果。

    使用說明

    關於如何使用ack-ram-authenticator進行ACK託管叢集的Webhook認證,請參見通過ack-ram-authenticator完成ACK託管叢集API Server的Webhook認證

    組件配置

    ack-ram-authenticator組件支援如下參數配置。

    參數

    類型

    說明

    EnableNonBootstrapMapping

    boolean

    僅v0.4.0.0-g33f30dac-aliyun及以上版本支援。

    是否啟用步驟五:配置RAM身份和RBAC許可權的映射關係中所配置的身份映射關係。

    • true:啟用叢集內配置的身份映射關係。

    • false:禁用叢集內配置的身份映射關係,僅啟用節點初始化所需的身份映射配置。

    變更記錄

    2025年11月

    版本號碼

    變更內容

    變更時間

    變更影響

    0.5.1

    升級組件使用的Golang版本至1.24.10,提升組件穩定性。

    2025年11月26日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2025年09月

    版本號碼

    變更內容

    變更時間

    變更影響

    0.5.0

    • 變更組件版本的命名規則。

    • 升級組件使用的Golang版本為1.24.6,提升組件穩定性。

    2025年09月09日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2025年04月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.4.1.0-g8023a0b5-aliyun

    • 在組件返回的使用者資訊的extra欄位中新增"identitySource": ["ack-ram-authenticator"]標識,便於快速識別目前使用者是否源自ack-ram-authenticator組件的認證。

    • 升級組件使用的Golang版本為1.24.2,提升組件穩定性。

    2025年04月29日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2025年03月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.4.0.0-g33f30dac-aliyun

    新增組件配置參數EnableNonBootstrapMapping。關於該參數的說明,詳見組件配置

    2025年03月31日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2024年09月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.3.0.0-gea598ff0-aliyun

    升級組件使用的Golang版本為1.22.7,提升組件穩定性。

    2024年09月09日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2024年04月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.2.1.3-g694325a9-aliyun

    請求GetCallerIdentity介面時傳遞組件版本資訊便於問題定位。

    2024年04月12日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    v0.2.0.3-gcea89d25-aliyun

    當前處於灰階發布中。

    新增支援ARM架構。

    2024年04月10日

    2023年11月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.2.0.0-g9cf9d682-aliyun

    • 新增支援ACK Serverless叢集

    • 新增支援新版Token格式。

    2023年11月15日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。

    2023年05月

    版本號碼

    變更內容

    變更時間

    變更影響

    v0.1.0.5-g6e50a122-aliyun

    新增ack-ram-authenticator組件,首次發布。

    2023年05月18日

    安裝和卸載此組件均會重啟叢集控制面API Server,會影響與API Server的長串連。建議在業務低峰期進行組件的安裝和卸載操作。