kube-apiserver如何通过cacerts与kubelet通信?

时间:2019-05-15 07:44:09

标签: kubernetes certificate tls1.2 ca kops

我有一个用kops创建的kubernetes集群。而且我在apiserver命令行参数中看到以下内容。

--kubelet-client-certificate=/srv/kubernetes/kubelet-api.pem 
--kubelet-client-key=/srv/kubernetes/kubelet-api-key.pem 

如何将单个证书和密钥用于与所有辅助节点进行通信?因为我可以看到每个工作节点都有自己的证书和根证书。

enter image description here

1 个答案:

答案 0 :(得分:1)

在kubernetes文档的摘录中找到以下内容。它说,当api服务器连接到kubelet时,证书不会得到验证。

从apiserver到节点,pod或服务的连接默认为纯HTTP连接,因此既不进行身份验证也不加密。可以在安全的HTTPS连接上运行https://前缀API网址中的节点,吊舱或服务名称,,但它们不会验证HTTPS终结点提供的证书,也不会提供客户端凭据,因此尽管连接将被加密,但不会提供任何保证诚信。这些连接目前无法在不受信任和/或公共网络上运行。