Kubernetes PKI认证¶
Kubernetes 需要PKI证书来实现基于TLS的认证。如果你使用 kubeadm 来安装Kubernetes,则已经自动生成了集群需要的证书。你也可以生成自己的证书,例如为了安全,避免将私钥存储在API服务器上。
集群如何使用证书¶
Kuernetes在以下操作中需要使用PKI:
kubelet访问API服务器需要使用客户端证书
API服务器endpoint的服务器证书
访问API服务器管理集群使用管理员证书
API服务器的客户端证书用于和kubelet通讯
API服务器的客户端证书用于和etcd通讯
控制器的客户端证书/kubeconfig用于和API服务器通讯
调度器的客户端证书/kubeconfig用于和API服务器通讯
用于front-proxy的客户端和服务器端证书
备注
如果通过kubeadm安装Kubernetes,则所有证书存放在 /etc/kubenetes/pki
目录下。
手工配置证书¶
备注
待实践
备注
部署高可用 扩展etcd节点高可用集群 需要配置 apiserver 访问etcd 证书,通过卷映射到容器内部,请参考