我们正在尝试通过向Kubernetes Control Plane提供受信任的CA(ssl证书)来保护AKS集群。 创建群集时,将通过默认API服务器证书颁发证书。 在配置群集之前,有什么方法可以将受信任的证书嵌入到控制平面中?
就像我们尝试访问kubernetes服务器一样,它会显示 ssl证书问题 要消除这种情况,我们必须能够将组织证书添加到api服务器。 当我们在Cloud中创建集群(托管Kubernetes集群)时,由于无法访问api,因此无法访问控制平面节点。
有人可以帮我弄清楚如何向kubernetes的控制平面添加ssl证书吗?
答案 0 :(得分:0)
当我们在Cloud中创建集群(托管的Kubernetes集群)时,我们会 没有访问控制平面节点的权限,因此我们将不会 能够配置api服务器。
对于每个人(除了OOB解决方案之外,其他任何人都喜欢),这是最大的不便和痛苦... 我的回答是不。不,不幸的是,如果使用AKS,您将无法实现这一目标。
顺便说一句,这里也是有趣的信息:Self signed certificates used on management API。尽管答案无济于事,但请在此处复制粘贴以供将来参考。
您是正确的,按照正常的PKI规范指示使用 用于SSL传输的非自签名证书。但是,我们之所以 当前不支持完全签名的证书是:
Kubernetes需要能够自动生成和签署证书的能力众所周知,注入自己的CA的用户容易出错 在整个Kubernetes中
我们意识到,我们希望摆脱自签名证书, 但是,这需要在上游进行工作,以使其更有可能 成功。官方文档也解释了很多 符合要求:
https://kubernetes.io/docs/concepts/cluster-administration/certificates/ https://kubernetes.io/docs/tasks/tls/managing-tls-in-a-cluster/ https://kubernetes.io/docs/setup/best-practices/certificates/
此外,本文进一步探讨了有关cert的问题 管理:
https://jvns.ca/blog/2017/08/05/how-kubernetes-certificates-work/