Corridakubeadm init phase certs apiserver --config kubeadm.yaml
É possível ter um certificado raiz múltiplo/personalizado para ser usado para arquivos de grupo de usuários/kubectl/config?
Estou perguntando porque gostaria de dar acesso, por projeto - e depois remover o certificado raiz personalizado - mas mantenha o certificado raiz "original" para administradores kubectl especiais.
Eu vi que você pode usar o tunelamento ssh como uma primeira linha de defesa, para proteger a chave pública do certificado raiz. Mas você ainda precisa distribuir o certificado assinado público, mesmo que esteja por trás da chave privada pública ssh. Portanto, talvez haja uma maneira de usar o tunelamento ssh - e colocar um certificado personalizado certificatesDir: /etc/kubernetes/pki
?
kubeadm.yaml
apiServer:
extraArgs:
authorization-mode: Node,RBAC
timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta1
certificatesDir: /etc/kubernetes/pki
Eu sei que você pode usar --insecure-skip-tls-verify
no arquivo de configuração, mas parece uma má ideia.