TLS安全的etcd上的Kubernetes

Question

默认情况下，不保护运行CoreOS等的安全性。 为了保护它，我可以使用TLS，它增加了我愿意努力的复杂程度。

现在，Kubernetes能够使用受TLS保护的etcd集群吗？

在Kubelet和各种Pod的配置中，Kubernetes将etcd端点作为参数传递，因此它们需要etcd，并且如果安全，则需要证书与之对话。 如果Kubernetes支持与etcd的TLS连接，如何配置它？

谢谢

Answer 1

API服务器是直接与etcd对话的唯一组件。 启动API服务器时，您可以传递--etcd-config=/path/to/client/config参数，而不仅仅是使用--etcd-server指向不安全的etcd --etcd-server

在该配置文件中，您将指定etcd服务器以及用于连接的客户端凭据（证书/密钥）。

格式是go-etcd客户端NewClientFromFile函数所期望的格式，该函数期望Client结构的JSON序列化，特别是config和cluster键

Answer 2

进一步挖掘并询问github项目，我被引导到这篇文章，希望我能回答这个问题：

https://groups.google.com/forum/#!topic/google-containers/bTfEcRQ3N28/discussion

简而言之，配置文件应如下所示：

{
  "cluster": {
    "machines": [
          "https://kube-master.internal:2379",
          "https://kube-minion1.internal:2379",
          "https://kube-minion2.internal:2379"
    ]
  },
  "config": {
    "certFile": "/etc/etcd/kube-master.internal.pem",
    "keyFile": "/etc/etcd/kube-master.internal.key",
    "caCertFiles": [ "/etc/etcd/kubecluster-ca.pem" ],
    "consistency": "STRONG_CONSISTENCY"
  }
}

尚未尝试，但会尽快完成。