Kubernetesクラスタで既存の証明書を使用する方法

Question

既存の証明書のインポートに関する質問があります。

1. Kubernetesで内部的に使用されている証明書（たとえば、apiサーバーとワーカー、マスターコントローラなど）はどのようにして使用されますか？ KubernetesにCAがありますか？ （内部認証用の証明書はどのように生成されますか）

2. 各レイヤにはどのような証明書が必要ですか？

Answer 1

Kubernetesの証明書は、主にAPIサーバーとの通信を保護するために使用されます。 official Kubernetes documentationから撮影：

すべてKubernetesクラスタは、クラスタ・ルート証明機関 （CA）を持っています。 CAサーバは、 APIサーバの証明書を検証し、APIサーバがkubeletクライアント 証明書などを検証するために、クラスタコンポーネントによって一般的に使用されます。これをサポートするために、CA証明書バンドルは、クラスタ内のすべてのノードに配布され、 既定のサービスアカウントに添付された秘密 必要に応じて、 ワークロードでこのCAを使用して信頼を確立することもできます。アプリケーションは を使用してcertificates.k8s.io APIを使用して証明書署名を要求できます。このプロトコルはACMEドラフトに似ています。

kubeadmでクラスタを作成する場合は、最初のツールは/etc/kubernetes/pkiでCAを作成し、看板その秘密鍵で、次のすべての証明書。 caは後で検証のためにすべてのノードに配布され、kubectlを介してapiサーバーの検証のために/etc/kubernetes/admin.confにコード化されたbase64が見つかりました。

kubeadm init以降--cert-dirで指定した任意のフォルダを起動する前に、それと/etc/kubernetes/pkiでca.crtとca.keyなど、あなたの秘密鍵を配置することによって、クラスタ作成のための独自のCAを使用することが可能です。

Kubernetesをインストールするには他にも多くの方法がありますが、実際にはKubernetesコードが実行される前にCAを作成しておくか、あらかじめ存在させる必要があります。