Kubernetes 中 etcd 的单独 CA?

【问题标题】:Seperate CA for etcd in Kubernetes?Kubernetes 中 etcd 的单独 CA?
【发布时间】:2020-09-21 12:32:01
【问题描述】:

我正在学习 Google 云 (GKE) 中的控制平面安全课程,并在下面的链接中提到“证书颁发机构和集群信任”并有这些问题。有人可以澄清这些吗?

https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security

  1. 了解到每个集群都有其可以颁发证书的 CA,这部分很好.. 还提到 etcd 有单独的 CA... 这是否意味着一个集群有两个 CA ,一个用于其余组件,一个用于 etcd 或者它只是一个用于整个控制平面的 CA?
  2. 它还说,每个集群都有自己的“根”CA。我知道 CA 是什么,根证书颁发机构是什么意思?

提前谢谢...

【问题讨论】:

  • 对不起,我可以得到一些关于根 CA 的信息,这是我的第二个问题。帮助解决第一个问题会很好......谢谢。

标签: kubernetes google-kubernetes-engine etcd kubernetes-security


【解决方案1】:

1.- 没错。 master 和节点组件有一个证书,etcd 有另一个证书。 This 文章解释更好。请注意,这是一种 GKE 方法,而不是 Kubernetes。

2.- 我通过的文章也解释了第二点。实际上有两个 CA。我引用“在 GKE 中,主 API 证书由集群根 CA 签名。每个集群运行自己的 CA,因此如果一个集群的 CA 被破坏,其他集群 CA 不会受到影响”。

【讨论】:

    猜你喜欢
    • 2018-12-22
    • 1970-01-01
    • 2015-12-23
    • 2017-10-14
    • 2019-10-11
    • 2020-10-14
    • 2016-05-16
    • 2016-03-23
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode