From fb9c64ace7e43a3658e28f8b75a09e6c90bf36de Mon Sep 17 00:00:00 2001
From: Jimmy Song <rootsongjc@gmail.com>
Date: Sat, 20 Jan 2018 16:54:58 +0800
Subject: [PATCH] kubectl authorization

---
 SUMMARY.md             | 2 +-
 guide/using-kubectl.md | 9 +++++++++
 2 files changed, 10 insertions(+), 1 deletion(-)

diff --git a/SUMMARY.md b/SUMMARY.md
index 0e5c43697..64e6e50b1 100644
--- a/SUMMARY.md
+++ b/SUMMARY.md
@@ -71,7 +71,7 @@
   - [RBAC——基于角色的访问控制](guide/rbac.md)
   - [IP伪装代理](guide/ip-masq-agent.md)
   - [使用kubeconfig或token进行用户身份认证](guide/auth-with-kubeconfig-or-token.md)
-  - [ Kubernetes中的用户与身份认证授权](guide/authentication.md)
+  - [Kubernetes中的用户与身份认证授权](guide/authentication.md)
 - [访问Kubernetes集群](guide/access-kubernetes-cluster.md)
   - [访问集群](guide/access-cluster.md)
   - [使用kubeconfig文件配置跨集群认证](guide/authenticate-across-clusters-kubeconfig.md)
diff --git a/guide/using-kubectl.md b/guide/using-kubectl.md
index d23452d21..ad572f123 100644
--- a/guide/using-kubectl.md
+++ b/guide/using-kubectl.md
@@ -51,3 +51,12 @@ pip install kube-shell --user -U
 
 ![kube-shell页面](../images/kube-shell.jpg)
 
+## kubectl的身份认证
+
+Kubernetes中存在三种安全认证方式：
+
+- **CA证书**：API server与其它几个组件之间都是通过这种方式认证的
+- **HTTP base**：即在API server的启动参数中指定的`--token-auth-file=/etc/kubernetes/token.csv`文件中明文的用户、组、密码和UID配置
+- **bearer token**：HTTP请求中`header`中传递的`Autorization:Bearer token`，这个token通常保存在创建角色跟`serviceaccount`绑定的时候生成的secret中。
+
+kubectl通过读取`kubeconfig`文件中的配置信息在向API server发送请求的时候同时传递认证信息，同时支持CA证书和bearer token的认证方式，请参考[使用kubeconfig文件配置跨集群认证](../guide/authenticate-across-clusters-kubeconfig.md)。
\ No newline at end of file