[英]Kubernetes on TLS secured etcd
默认情况下,不保护运行CoreOS等的安全性。 为了保护它,我可以使用TLS,它增加了我愿意努力的复杂程度。
现在,Kubernetes能够使用受TLS保护的etcd集群吗?
在Kubelet和各种Pod的配置中,Kubernetes将etcd端点作为参数传递,因此它们需要etcd,并且如果安全,则需要证书与之对话。 如果Kubernetes支持与etcd的TLS连接,如何配置它?
谢谢
API服务器是直接与etcd对话的唯一组件。 启动API服务器时,您可以传递--etcd-config=/path/to/client/config
参数,而不仅仅是使用--etcd-server
指向不安全的etcd --etcd-server
在该配置文件中,您将指定etcd服务器以及用于连接的客户端凭据(证书/密钥)。
格式是go-etcd客户端NewClientFromFile函数所期望的格式,该函数期望Client结构的JSON序列化,特别是config
和cluster
键
进一步挖掘并询问github项目,我被引导到这篇文章,希望我能回答这个问题:
https://groups.google.com/forum/#!topic/google-containers/bTfEcRQ3N28/discussion
简而言之,配置文件应如下所示:
{
"cluster": {
"machines": [
"https://kube-master.internal:2379",
"https://kube-minion1.internal:2379",
"https://kube-minion2.internal:2379"
]
},
"config": {
"certFile": "/etc/etcd/kube-master.internal.pem",
"keyFile": "/etc/etcd/kube-master.internal.key",
"caCertFiles": [ "/etc/etcd/kubecluster-ca.pem" ],
"consistency": "STRONG_CONSISTENCY"
}
}
尚未尝试,但会尽快完成。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.