我有一个Kubernetes集群(1.10),我将用于一些应用程序,这些应用程序需要与同样部署在同一集群中的消息代理进行对话。
我希望将代理配置为仅接受来自特定的,自签名CA的x509证书,并且作为安全措施,我希望每个Pod与部署代理时生成的代理进行通信所需的客户端证书。该pod以及该证书的续订(以及服务的重新启动)将自动进行。
我可以看到Kubernetes有一个证书端点,但是我找不到任何有关如何以这种方式使用它的文档。
进行这样的事情的最佳选择是什么?我知道某些应用程序(例如Istio)具有内置的此功能,但在这种情况下,我需要可以与自己的自定义自签名CA配合使用的功能,以允许我使用我认为合适的证书。
我是否需要为此开发一个运算符,或者有人已经做过类似的事情?也许我会以错误的方式进行操作?