[英]Kubernetes on TLS secured etcd
默認情況下,不保護運行CoreOS等的安全性。 為了保護它,我可以使用TLS,它增加了我願意努力的復雜程度。
現在,Kubernetes能夠使用受TLS保護的etcd集群嗎?
在Kubelet和各種Pod的配置中,Kubernetes將etcd端點作為參數傳遞,因此它們需要etcd,並且如果安全,則需要證書與之對話。 如果Kubernetes支持與etcd的TLS連接,如何配置它?
謝謝
API服務器是直接與etcd對話的唯一組件。 啟動API服務器時,您可以傳遞--etcd-config=/path/to/client/config
參數,而不僅僅是使用--etcd-server
指向不安全的etcd --etcd-server
在該配置文件中,您將指定etcd服務器以及用於連接的客戶端憑據(證書/密鑰)。
格式是go-etcd客戶端NewClientFromFile函數所期望的格式,該函數期望Client結構的JSON序列化,特別是config
和cluster
鍵
進一步挖掘並詢問github項目,我被引導到這篇文章,希望我能回答這個問題:
https://groups.google.com/forum/#!topic/google-containers/bTfEcRQ3N28/discussion
簡而言之,配置文件應如下所示:
{
"cluster": {
"machines": [
"https://kube-master.internal:2379",
"https://kube-minion1.internal:2379",
"https://kube-minion2.internal:2379"
]
},
"config": {
"certFile": "/etc/etcd/kube-master.internal.pem",
"keyFile": "/etc/etcd/kube-master.internal.key",
"caCertFiles": [ "/etc/etcd/kubecluster-ca.pem" ],
"consistency": "STRONG_CONSISTENCY"
}
}
尚未嘗試,但會盡快完成。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.