[英]How to use the existing certificates in Kubernetes cluster
我對導入現有證書有某些疑問。
Kubernetes內部如何使用證書(例如,在api服務器與工作程序,主控制器等之間)? Kubernetes中是否有CA? (如何)生成供內部使用的證書?
每層都需要什么證書?
Kubernetes中的證書主要用於保護API服務器之間的通信安全。 摘自Kubernetes官方文檔 :
每個Kubernetes群集都有一個群集根證書頒發機構(CA)。 群集組件通常使用CA來驗證API服務器的證書,API服務器通常使用CA來驗證kubelet客戶端證書等。為此,CA證書包分發到群集中的每個節點並作為秘密附件分發。默認服務帳戶。 (可選)您的工作負載可以使用此CA建立信任。 您的應用程序可以使用類似於ACME草案的協議,使用certificate.k8s.io API請求證書簽名。
使用kubeadm創建集群時,該工具首先會在/etc/kubernetes/pki
創建一個CA,並使用其私鑰對以下所有證書進行簽名。 隨后,ca分發到所有節點上進行驗證,並在/etc/kubernetes/admin.conf
找到base64編碼,以通過kubectl
驗證api服務器。
通過在調用kubeadm init
或以后用--cert-dir
指定的任何文件夾之前,將CA和私鑰分別放在/etc/kubernetes/pki
ca.crt
和ca.key
中,可以使用自己的CA來創建集群。
還有許多其他方式來安裝Kubernetes,但它們基本上都是在任何實際的Kubernetes代碼運行之前創建CA或要求事先存在一個CA.
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.