我正在尝试了解将自签名证书用于 Kubernetes 验证网络钩子的安全含义。
如果我理解正确,证书只是用来通过 https 为验证 webhook 服务器提供服务。当 Kubernetes api-server 收到与验证 webhook 的配置匹配的请求时,它会首先通过 https 与验证 webhook 服务器进行检查。如果您的验证 webhook 服务器位于 Kubernetes 集群上(不是外部的),那么此流量都在 Kubernetes 集群内部。如果是这种情况,证书是自签名的有问题吗?
答案 0 :(得分:0)
如果我理解正确,证书只是用来 能够通过 https 为验证 webhook 服务器提供服务。
基本上是的。
<块引用>如果您的验证 webhook 服务器位于 Kubernetes 集群上(是 不是外部的)那么这个流量都是在 Kubernetes 内部的 簇。如果是这种情况,证书是否有问题 自签名?
如果颁发过程以安全的方式处理得当,自签名证书就完全不成问题。与 this 示例进行比较。