我正在尝试使用NginX代理LoadBalancer服务器或Ingress在Kubernetes中的另一个服务之前构建HTTPs代理服务器.无论哪种方式,我需要一个证书和密钥,以便我的外部请求得到身份验证.
我正在研究如何在集群中管理tls,并且我注意到用于连接到容器集群的证书与安装在/var/run/secrets/kubernetes.io/serviceaccount/ca.crt正在运行的pod上的证书相同.
所以我认为我的节点集群已经有一个注册证书,我需要的只是密钥,把它扔进一个秘密并挂载到我的代理服务器.但我找不到怎么样.
这很简单吗?我该怎么办?或者我是否需要创建新证书,签名等等?那我需要更换当前的证书吗?
小智 5
如果您希望外部请求进入K8s群集,那么这是入口控制器的工作,或者如果您的云提供商支持,则使用负载均衡器配置服务.
您参考中讨论的证书实际上是用于群集内通信,因为它说:
每个Kubernetes群集都有一个群集根证书颁发机构(CA).CA通常由群集组件用于验证API服务器的证书,由API服务器验证kubelet客户端证书等.
如果你采用入口方法,那么这里是tls的文档.在底部有一个备选列表,例如负载均衡器方法.
如果您能够让所有外部客户端都信任它,我想您可以在外部使用内部证书.我个人可能会使用kube-lego,它可以自动从Let's Encrypt获取证书,因为现在大多数浏览器都信任这个CA.
希望这可以帮助
| 归档时间: |
|
| 查看次数: |
3759 次 |
| 最近记录: |