Vault PKI Intermediate SETUP CAs for ALL SERVICES Kubernetes the hard way v2
Материал из noname.com.ua
Версия от 15:01, 21 декабря 2022; Sirmax (обсуждение | вклад)
Прежде чем начать
Для понимания ЗАЧЕМ это делается - можно просмотреть Описание СА и сертификатов (которые будут созданы в этой секции)
Однако это не требуется - можно сначала сделать все необходимые настройки, и только после разобрать зачем они нужны
Terraform
По-хорошему эту часть надо делать не скриптами на баше и вызовами vault
, а с помощью terraform
, но пока-что руки не дошли переделать.
Какие есть CA
В этой инсталляции используются следующие CA
k8s_pki_root_ca/
k8s Root CA, Корневой СА, которым подписаны промежуточные СА и только они. Все остальные сертификаты подписаны промежуточными СА.k8s_pki_intermediate_ca_for_service_etcd/
Intermediate CA for ETCd service, СА которым подписываются сертификаты дляetcd
k8s_pki_intermediate_ca_for_service_kube_apiserver_client_auth/
Intermediate CA for K8S: kube-apiserver CLIENT_AUTHk8s_pki_intermediate_ca_for_service_kube_apiserver_tls/
Intermediate CA for K8S: kube-apiserver TLSk8s_pki_intermediate_ca_for_service_kube_controller_manager_tls/
Intermediate CA for K8S: kube-controller-manager TLSk8s_pki_intermediate_ca_for_service_kube_scheduler_tls/
Intermediate CA for K8S: kube-scheduler TLSk8s_pki_intermediate_ca_for_service_kubelet_client_auth/
Intermediate CA for K8S: kubelet CLIENT_AUTHk8s_pki_intermediate_ca_for_service_kubelet_tls/
Intermediate CA for K8S: kubelet TLS
k8s_pki_intermediate_ca_for_service_etcd/
k8s_pki_intermediate_ca_for_service_etcd/
- используется для клиентских и серверных сертификатов etcd
.
Строго говоря, не является частью k8s и настраивается отдельно (Настройка PKI для etcd
)
- для шифрования endpoints
- для авторизации клиентов