Score:0

Kubernetes: ใช้ CA ระดับกลางซึ่งใบรับรองลงนามโดยใบรับรอง CA หลักที่ลงนามด้วยตนเอง

ธง au

มีใครใช้กลุ่มใบรับรองของตัวเองสำหรับคลัสเตอร์ Kubernetes หรือไม่

มีปัญหากับการตั้งค่าประเภทนี้ และฉันจะขอบคุณสำหรับแนวคิดเกี่ยวกับวิธีแก้ปัญหา

สมมติว่าเรามี Root CA ซึ่งใบรับรองนั้นลงนามด้วยตนเอง นอกจากนี้ เรายังมี Intermediate CA ซึ่งใบรับรองลงนามโดย Root CA เราสร้างห่วงโซ่การรับรอง (โดยเชื่อมคอนเทนเนอร์ PEM ทั้งสองเข้าด้วยกันในไฟล์เดียว) และตั้งค่า Kubernetes ด้วยสิ่งนั้น เกือบทุกอย่างทำงานได้อย่างสมบูรณ์แบบ: Kubernetes ทำงานได้ดี ลูกค้า Kubernetes ทำงานได้ดี ตัวดำเนินการ Kubernetes ทำงานได้ดี... ชีวิตดี๊ดี

แต่มีสิ่งหนึ่งที่เราต้องจำไว้ ทั้งหมด ความลับ วัตถุที่มีโทเค็นการรักษาความปลอดภัยสำหรับ บัญชีบริการ วัตถุมีใบรับรอง CA เวอร์ชัน "สั้นลง" เวอร์ชัน "ย่อ" ไม่มีใบรับรอง Root CA มีเพียงใบรับรองระดับกลางเท่านั้น

อย่างที่ฉันเห็น สำหรับไลบรารี TLS ส่วนใหญ่นั่นก็เพียงพอแล้ว ซอฟต์แวร์ชิ้นหนึ่งสร้างการเชื่อมต่อ TLS กับ Kubernetes API Server ตรวจสอบให้แน่ใจว่าใบรับรองของเซิร์ฟเวอร์นั้นลงนามโดย CA ที่เชื่อถือได้ (สมมติว่าใบรับรอง CA ระดับกลางที่ได้รับมาจากที่เกี่ยวข้อง ความลับ ได้รับความไว้วางใจ) และทุกอย่างทำงานได้อย่างราบรื่น

แต่บางครั้งเราก็มีปัญหาเมื่อเราเป็นส่วนหนึ่งของซอฟต์แวร์ (เช่น ตัวดำเนินการ Kubernetes หรือโปรแกรมอื่นใดที่ต้องสื่อสารกับ Kubernetes API Server) ที่ใช้ไลบรารี TLS ที่เข้มงวดขึ้นเล็กน้อย เราจะประสบปัญหา ในกรณีนี้ เราต้องจัดเตรียมเครื่องมือนี้พร้อมกับเวอร์ชันของสายการรับรอง (ที่มีทั้งใบรับรอง CA ระดับกลางและระดับรูทหนึ่ง) เนื่องจากเวอร์ชัน "ย่อ" ที่ Kubernetes จัดเตรียมไว้ให้นั้นไม่เพียงพอ และไม่เป็นไรหากเราสามารถจัดเตรียมเครื่องมือนี้ด้วยห่วงโซ่ใบรับรองแบบเต็ม แต่บางครั้งก็ไม่สามารถทำได้ ดังนั้นเครื่องมือนี้จึงใช้ใบรับรอง CA ที่ "สั้นลง" จาก /var/run/secrets/kubernetes.io/serviceaccount/ca.crt และนั่นไม่ใช่เรื่องง่ายที่จะโน้มน้าวให้รับใบรับรอง CA จากแหล่งอื่น :-(

คำถามของฉันมีดังต่อไปนี้: มีวิธีใดบ้างที่จะทำให้ Kubernetes สร้างสิ่งเหล่านี้ ความลับ วัตถุที่มีห่วงโซ่การรับรองเวอร์ชันเต็มหรือไม่ และถ้ามี จะทำให้เกิดปัญหาในลักษณะอื่นอีกหรือไม่ (เช่น ซอฟต์แวร์ที่จะมาพร้อมกับเชนแบบเต็มจะผิดพลาดหรือไม่) หรือบางทีอาจมีวิธีแก้ปัญหาอื่น?

ขอบคุณล่วงหน้า.

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา