[英]How to use the existing certificates in Kubernetes cluster
我对导入现有证书有某些疑问。
Kubernetes内部如何使用证书(例如,在api服务器与工作程序,主控制器等之间)? Kubernetes中是否有CA? (如何)生成供内部使用的证书?
每层都需要什么证书?
Kubernetes中的证书主要用于保护API服务器之间的通信安全。 摘自Kubernetes官方文档 :
每个Kubernetes群集都有一个群集根证书颁发机构(CA)。 群集组件通常使用CA来验证API服务器的证书,API服务器通常使用CA来验证kubelet客户端证书等。为此,CA证书包分发到群集中的每个节点并作为秘密附件分发。默认服务帐户。 (可选)您的工作负载可以使用此CA建立信任。 您的应用程序可以使用类似于ACME草案的协议,使用certificate.k8s.io API请求证书签名。
使用kubeadm创建集群时,该工具首先会在/etc/kubernetes/pki
创建一个CA,并使用其私钥对以下所有证书进行签名。 随后,ca分发到所有节点上进行验证,并在/etc/kubernetes/admin.conf
找到base64编码,以通过kubectl
验证api服务器。
通过在调用kubeadm init
或以后用--cert-dir
指定的任何文件夹之前,将CA和私钥分别放在/etc/kubernetes/pki
ca.crt
和ca.key
中,可以使用自己的CA来创建集群。
还有许多其他方式来安装Kubernetes,但它们基本上都是在任何实际的Kubernetes代码运行之前创建CA或要求事先存在一个CA.
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.