Vault PKI Intermediate SETUP CAs for ALL SERVICES Kubernetes the hard way v2: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| Строка 13: | Строка 13: | ||
=Какие есть CA= |
=Какие есть CA= |
||
В этой инсталляции используются следующие CA |
В этой инсталляции используются следующие CA |
||
| − | * k8s_pki_root_ca/ |
+ | * <code>k8s_pki_root_ca/</code> k8s Root CA |
| − | * k8s_pki_intermediate_ca_for_service_etcd/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_etcd/<code> Intermediate CA for ETCd service |
| − | * k8s_pki_intermediate_ca_for_service_kube_apiserver_client_auth/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kube_apiserver_client_auth/</code> Intermediate CA for K8S: kube-apiserver CLIENT_AUTH |
| − | * k8s_pki_intermediate_ca_for_service_kube_apiserver_tls/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kube_apiserver_tls/</code> Intermediate CA for K8S: kube-apiserver TLS |
| − | * k8s_pki_intermediate_ca_for_service_kube_controller_manager_tls/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kube_controller_manager_tls/<code> Intermediate CA for K8S: kube-controller-manager TLS |
| − | * k8s_pki_intermediate_ca_for_service_kube_scheduler_tls/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kube_scheduler_tls/</code> Intermediate CA for K8S: kube-scheduler TLS |
| − | * k8s_pki_intermediate_ca_for_service_kubelet_client_auth/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kubelet_client_auth/</code> Intermediate CA for K8S: kubelet CLIENT_AUTH |
| − | * k8s_pki_intermediate_ca_for_service_kubelet_tls/ |
+ | * <code>k8s_pki_intermediate_ca_for_service_kubelet_tls/</code> Intermediate CA for K8S: kubelet TLS |
<BR> |
<BR> |
||
| + | |||
=<code>k8s_pki_intermediate_ca_for_service_etcd/= |
=<code>k8s_pki_intermediate_ca_for_service_etcd/= |
||
Версия 18:09, 8 декабря 2022
Прежде чем начать
Для понимания ЗАЧЕМ это делается - можно просмотреть Описание СА и сертификатов (которые будут созданы в этой секции)
Однако это не требуется - можно сначала сделать все необходимые настройки, и только после разобрать зачем они нужны
Terraform
По-хорошему эту часть надо делать не скриптами на баше и вызовами vault, а с помощью terraform, но пока-что руки не дошли переделать.
Какие есть CA
В этой инсталляции используются следующие CA
k8s_pki_root_ca/k8s Root CAk8s_pki_intermediate_ca_for_service_etcd/Intermediate CA for ETCd servicek8s_pki_intermediate_ca_for_service_kube_apiserver_client_auth/Intermediate CA for K8S: kube-apiserver CLIENT_AUTHk8s_pki_intermediate_ca_for_service_kube_apiserver_tls/Intermediate CA for K8S: kube-apiserver TLSk8s_pki_intermediate_ca_for_service_kube_controller_manager_tls/Intermediate CA for K8S: kube-controller-manager TLSk8s_pki_intermediate_ca_for_service_kube_scheduler_tls/Intermediate CA for K8S: kube-scheduler TLSk8s_pki_intermediate_ca_for_service_kubelet_client_auth/Intermediate CA for K8S: kubelet CLIENT_AUTHk8s_pki_intermediate_ca_for_service_kubelet_tls/Intermediate CA for K8S: kubelet TLS
k8s_pki_intermediate_ca_for_service_etcd/
k8s_pki_intermediate_ca_for_service_etcd/ - используется для клиентских и серверных сертификатов etcd.
Строго говоря, не является частью k8s и настраивается отдельно (Настройка PKI для etcd)
- для шифрования endpoints
- для авторизации клиентов
k8s_pki_intermediate_ca_for_service_kube_apiserver_client_auth/
k8s_pki_intermediate_ca_for_service_kube_apiserver_tls/
k8s_pki_intermediate_ca_for_service_kube_controller_manager_tls/
k8s_pki_intermediate_ca_for_service_kube_scheduler_tls/
k8s_pki_intermediate_ca_for_service_kubelet_client_auth/
k8s_pki_intermediate_ca_for_service_kubelet_tls/
