我正在通过谷歌云控制平面安全(GKE)课程,并在下面的链接中提到“证书颁发机构和集群信任”,并有这些问题。有人能澄清这些吗?.
https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security
1.了解到每个集群都有自己的CA来颁发证书,这一部分很好..还提到了etcd有单独的CA.
1.它还说,每个集群都有自己的“根”CA..我知道CA是什么,* 根证书颁发机构 * 是什么意思?
提前感谢......
2条答案
按热度按时间slhcrj9b1#
1.-是的。master和nodes组件有一个证书,etcd有另一个证书。这篇文章解释得更好。请注意,这是一种GKE方法,而不是Kubernetes。
2.-我通过的文章也解释了这第二点。确实有两个CA。我引用“在GKE中,主API证书由集群根CA签名。每个集群运行自己的CA,因此如果一个集群的CA被泄露,其他集群CA不会受到影响”。
oxf4rvwz2#
我曾经有过类似的疑问:ETCD托管在控制平面,如果黑客可以攻破控制平面节点,他们就可以得到一切。ETCD使用单独的CA并不能提高安全性,那么单独的CA有什么用?
实际上,有两个选项可用于配置高可用性(HA)Kubernetes集群的拓扑。
1.使用堆叠的控制平面节点,etcd节点与控制平面节点共置。这种方法非常常见,这就是为什么许多人认为它是唯一的kubernete infra,但它是错误的。
1.第二种方法是外部etcd节点,其中etcd运行在控制平面的不同节点上。对于这种选择,etcd和kubernetes可以由两个团队管理。我猜这就是为什么他们为独立团队使用单独的CA的原因。
的数据
参考文档
kuberenetes Documentation: Options for Highly Available Topology