AWS的授权本质是通过一组加密的属性完成的，这组属性称为安全凭证(security credential)。credential有两类：长期的和临时的。最常见的长期credential是为一个普通的IAM User创建的AccessKeyID和SecretAccessKey。除非手动失效，否则客户端可以永久使用这个credential访问AWS资源。而短期credential比长期的多一个属性SessionToken，这个属性定义了credential的有效期，有效期过后该credential自动失效。因此，通过临时credential可以实现临时授权，创建“临时账号”。

上一篇文章中介绍了etcd集群的搭建已经将对外的服务接口http转为https，本文将继续介绍在如何将集群间的peer通信从http转换成https。

本文使用3台CentOS7虚拟机搭建etcd集群，该集群是k8s高可用集群的基础。本文基于搭建过程解释了etcd中的pki机制，了解pki机制在集群安全中的一般工作模式。

本文介绍通过ssh建立隧道的三种方式。

k8s中的Ingress实现了对外部负载均衡器的自动配置，是对NodePort的替代方案。

Helm是k8s上的包管理工具，扮演centos中yum一样的角色，使得普通用户使用简单的一条指令就可以在k8s上安装应用，而无需编写复杂的yml文件，和k8s类似，在国内环境安装和部署Helm会遇到一点麻烦，本文提供了在国内环境安装和使用Helm的方法。文中的步骤在k8s v1.11.2和helm v2.10.0进行验证。

k8s是目前最流行的容器编排工具，不过k8s的安装部署一直是国内用户的一大痛点，复杂的部署配置过程使得其学习曲线非常陡峭。而新版本推出的kubeadm工具大大的简化了整个过程，这也是k8s官方推荐的安装工具。可惜，在国内的网络环境下，kubeadm是无法顺利运行的。因此，本文提供了在国内环境下使用kubeadm搭建k8s集群的过程。 本文的步骤基于k8s的官方文档 (https://kubernetes.io/docs/setup) 中的“Bootstrapping Clusters with kubeadm”章节，使用coreos公司的Container Linux作为操作系统进行部署k8s的1.12.1版本。