[meta:SO上的Kubernetes问题活动比Serverfault多,因此即使不是编程问题,也请在这里提问。如果在此处询问不合适,请标记为迁移]
摘要:在Kops中如何对kubelet证书进行签名?至少在我们的环境中,他们似乎正在使用CA 每个节点。
详细信息
在我们的Kops部署中检查kubelet端点的SSL证书(Kops正在管理Kubernetes v1.12.9),我看到以下证书详细信息
subject=CN = ip-10-1-2-3.ec2.internal@1561089780
issuer=CN = ip-10-1-2-3.ec2.internal-ca@1561089780
请注意,发行者似乎特定于该节点。 api服务器实际上如何与kubelet对话?肯定会由于未知的(对于api服务器)CA而导致身份验证失败。但这显然是可行的,因为群集可以运行,但是我不明白为什么。
相反,出于学习目的,我设置了一个群集manually,Kubelet证书的主题和颁发者为:
subject=CN=system:node:worker-1
issuer=CN=Kubernetes
(省略了某些位置样板)
正如我所期望的,有一个通用的CA对所有Kubelet证书进行签名-然后api服务器使用带有--client-ca-file的CA来对Kubelet启用身份验证。