管理Kubernetes中的证书管理

Question

我们正试图通过向Kubernetes控制飞机提供可信CA (ssl证书)来保护我们的AKS集群。默认API服务器证书是在创建群集时发出的。在提供群集之前，我们是否可以将受信任的证书嵌入到控制平面中？

与我们试图访问kubernetes服务器时一样，它显示了ssl证书颁发以消除此问题，我们必须能够将组织证书添加到api服务器。当我们在云中创建集群(托管Kubernetes集群)时，我们无法访问控制平面节点，因此无法配置api服务器。

有人能帮我弄清楚如何在kubernetes的控制平面上添加ssl证书吗？

Answer 1

当我们在云中创建集群(托管Kubernetes集群)时，我们无法访问控制平面节点，因此无法配置api服务器。

这对所有喜欢OOB解决方案的人来说是最大的不便和痛苦.我的回答是不。不，不幸的是，在AKS使用的情况下，您不能做到这一点。

顺便说一下，这里也有有趣的信息：管理API中使用的自签名证书。尽管答案对你没有帮助，但在这里复制粘贴以供将来参考。

您正确地知道，根据正常的PKI规范，SSL传输必须使用非自签名证书。然而，我们目前不支持完全签署证书的原因是：

1. Kubernetes要求具有自生成和签名证书的能力，用户注入他们自己的CA在Kubernetes作为一个整体是容易出错的。
2. 我们意识到了远离自签署证书的愿望，然而这需要在上游工作，使这更有可能成功。正式文档很好地解释了这方面的许多内容以及需求：

https://kubernetes.io/docs/concepts/cluster-administration/certificates/ https://kubernetes.io/docs/tasks/tls/managing-tls-in-a-cluster/ https://kubernetes.io/docs/setup/best-practices/certificates/

此外，这篇文章更深入地讨论了有关cert管理的问题：

https://jvns.ca/blog/2017/08/05/how-kubernetes-certificates-work/