Vault PKI Intermediate CAs for ALL SERVICES Kubernetes the hard way v2: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) (Содержимое страницы заменено на «Категория:K8s Категория:Hashicorp_Vault Категория:Vault Категория:Linux Ка...») Метка: замена |
Sirmax (обсуждение | вклад) |
||
Строка 17: | Строка 17: | ||
<br> |
<br> |
||
У <code>kube-apiserver</code> множество параметров связанных с шифрованием и сертификатами и в моей конфигурации используются РАЗНЫЕ СА везде где это возможно (хотя это не обязательно) |
У <code>kube-apiserver</code> множество параметров связанных с шифрованием и сертификатами и в моей конфигурации используются РАЗНЫЕ СА везде где это возможно (хотя это не обязательно) |
||
+ | |||
+ | =СА для TLS= |
||
+ | Отдельный СА (промежуточный СА!) |
||
+ | <br> |
||
+ | Переменные вынесены в отдельный файл |
||
+ | <PRE> |
||
+ | env |
||
+ | </PRE> |
||
+ | <PRE> |
||
+ | export VAULT_ADDR=http://127.0.0.1:8200 |
||
+ | export VAULT_TOKEN="s.Yb1J2VamFyYoav3VVE2YQQ88" |
||
+ | export PKI_PATH="k8s_pki_intermediate_ca_for_service_kube_apiserver_tls" |
||
+ | export N='kube-apiserver' |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | <PRE> |
||
+ | </PRE> |
Версия 16:12, 26 октября 2022
Создание СА для работы кластера K8s - Kube-Apiserver
Эта страница - часть большой статьи про CA используемые в k8s: Vault_PKI_Kubernetes_the_hard_way_v2
Задача - настроить промежуточный СА для работы сервиса kube-apiserver
Это в целом более-менее аналогичная конфигурация CA для ETCd
У kube-apiserver
множество параметров связанных с шифрованием и сертификатами и в моей конфигурации используются РАЗНЫЕ СА везде где это возможно (хотя это не обязательно)
СА для TLS
Отдельный СА (промежуточный СА!)
Переменные вынесены в отдельный файл
env
export VAULT_ADDR=http://127.0.0.1:8200 export VAULT_TOKEN="s.Yb1J2VamFyYoav3VVE2YQQ88" export PKI_PATH="k8s_pki_intermediate_ca_for_service_kube_apiserver_tls" export N='kube-apiserver'