跑步kubeadm init phase certs apiserver --config kubeadm.yaml
是否可以为用户组/kubectl/config 文件使用多个/自定义根证书?
我之所以问,是因为我想在每个项目的基础上授予访问权限-然后删除自定义根证书-但为特殊的 kubectl 管理员保留“原始”根证书。
我已经看到您可以使用 ssh 隧道作为第一道防线,以保护根证书公钥。但是您仍然需要分发公共签名证书,即使它位于 ssh 公钥私钥后面。因此,也许有一种方法可以使用 ssh 隧道 - 并将自定义证书放入certificatesDir: /etc/kubernetes/pki?
kubeadm.yaml
apiServer:
extraArgs:
authorization-mode: Node,RBAC
timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta1
certificatesDir: /etc/kubernetes/pki
我知道你可以--insecure-skip-tls-verify在配置文件中使用,但这似乎是个坏主意。
不,只有一个“根”证书,这就是为什么它被称为根。
但是,x509 是一个信任链,这意味着很有可能在该根下颁发从属 CA,然后在这些 CA 下颁发用户证书,在项目结束时选择删除从属 CA,这将孤立所有这些叶证书。请注意,据我所知,更改证书或其链需要重新启动控制平面,因为它不会热重新加载这些证书文件。我相信它有一个 GitHub 问题,就像其他 15,000 个问题一样
根据您的需要,另一种选择是为用户证书颁发短期租约,这样“撤销”过程并不会改变 x509 信任链,而只是未能重新颁发证书。这更接近 Hashicorp Vault 和 Let's Encrypt 学派
我亲自实现了第二个(使用 Vault),但我相信第一个是可能的,因为 apiserver 使用 x509 链进行其一些集群内组件身份验证,所以我不明白为什么你不能同样利用该机制的
我知道这不是您所要求的,但是像这样使用 x509 进行临时身份验证是一条毁灭之路,因为 - 正如您所经历的那样 - 发行和撤销双方都是巨大的痛苦。如果您完全可以使用它,那么OIDC 身份验证机制更容易推理,并且
kubectl或多或少地内置了对它的支持