允许 kubernetes storageclass 使用自签名证书重新 URL HTTPS

【问题标题】:Allow kubernetes storageclass resturl HTTPS with self-signed certificate允许 kubernetes storageclass 使用自签名证书重新 URL HTTPS
【发布时间】:2020-02-20 09:59:38
【问题描述】:

我目前正在尝试为 Kubernetes 集群设置 GlusterFS 集成。卷配置是使用 Heketi 完成的。

GlusterFS-cluster 有一个包含 3 个虚拟机的池 第一个节点配置了 Heketi 服务器和客户端。 Heketi API 使用自签名证书 OpenSSL 保护并且可以访问。

例如卷曲https://heketinodeip:8080/hello -k 返回预期的响应。

StorageClass 定义将“resturl”设置为 Heketi API https://heketinodeip:8080

当 storageclass 创建成功,我尝试创建 PVC 时,失败:

"x509: 未知权威签署的证书"

这是意料之中的,因为通常必须允许这种不安全的 HTTPS 连接或显式导入颁发者 CA(例如,仅包含 pem 字符串的文件)

但是:Kubernetes 是如何做到的?如何允许从 Kubernetes 到 Heketi 的这种不安全连接,允许不安全的自签名证书 HTTPS 或在哪里/如何导入 CA?

这不是 DNS/IP 问题,已通过正确的 subjectAltName 设置解决。

(似乎每个人都在使用 Heketi,它似乎仍然是 GlusterFS 集成的标准用例,但如果连接到 Kubernetes,则始终没有 SSL)

谢谢!

【问题讨论】:

  • 您如何签署 Heketi 证书?你试过用 kubernetes CA 给他们签名吗?

标签: ssl kubernetes openssl glusterfs


【解决方案1】:

To skip verification of server cert, caller just need specify InsecureSkipVerify: true. 请参阅此 github 问题以获取更多信息 (https://github.com/heketi/heketi/issues/1467)

在此页面中,他们指定了一种使用自签名证书的方法。没有彻底解释,但仍然有用(https://github.com/gluster/gluster-kubernetes/blob/master/docs/design/tls-security.md#self-signed-keys)。

【讨论】:

  • 我也找到了这些链接。第一个只是支持我的期望,这是 Kubernetes 方面的一个问题。 Heketi 支持 SSL,您可以轻松配置它。第二个只是提供想法,我们应该考虑什么(我做了)。并且已经让我意识到,如果节点尝试使用 PVC(在成功创建卷之后),Kubernetes 端将会出现另一个自签名证书问题,因为与 gluster 本身的通信也可能无法正常工作。 ://
猜你喜欢
  • 2012-12-26
  • 1970-01-01
  • 2020-05-22
  • 2015-05-08
  • 2022-11-28
  • 1970-01-01
  • 2017-12-19
  • 2017-02-19
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode