TLS安全的etcd上的Kubernetes

Question

默認情況下，不保護運行CoreOS等的安全性。 為了保護它，我可以使用TLS，它增加了我願意努力的復雜程度。

現在，Kubernetes能夠使用受TLS保護的etcd集群嗎？

在Kubelet和各種Pod的配置中，Kubernetes將etcd端點作為參數傳遞，因此它們需要etcd，並且如果安全，則需要證書與之對話。 如果Kubernetes支持與etcd的TLS連接，如何配置它？

謝謝

Answer 1

API服務器是直接與etcd對話的唯一組件。 啟動API服務器時，您可以傳遞--etcd-config=/path/to/client/config參數，而不僅僅是使用--etcd-server指向不安全的etcd --etcd-server

在該配置文件中，您將指定etcd服務器以及用於連接的客戶端憑據（證書/密鑰）。

格式是go-etcd客戶端NewClientFromFile函數所期望的格式，該函數期望Client結構的JSON序列化，特別是config和cluster鍵

Answer 2

進一步挖掘並詢問github項目，我被引導到這篇文章，希望我能回答這個問題：

https://groups.google.com/forum/#!topic/google-containers/bTfEcRQ3N28/discussion

簡而言之，配置文件應如下所示：

{
  "cluster": {
    "machines": [
          "https://kube-master.internal:2379",
          "https://kube-minion1.internal:2379",
          "https://kube-minion2.internal:2379"
    ]
  },
  "config": {
    "certFile": "/etc/etcd/kube-master.internal.pem",
    "keyFile": "/etc/etcd/kube-master.internal.key",
    "caCertFiles": [ "/etc/etcd/kubecluster-ca.pem" ],
    "consistency": "STRONG_CONSISTENCY"
  }
}

尚未嘗試，但會盡快完成。