在 Kubernetes 中为 etcd 分离 CA?
Seperate CA for etcd in Kubernetes?
我正在学习 Google 云 (GKE) 课程中的控制平面安全性并参考下面 link 中的 'certificate authority and cluster trust' 并有这些问题。有人可以澄清这些吗?
https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security
- 了解到每个集群都有它的 CA 可以颁发证书,这部分很好.. etcd 上也提到有单独的 CA... 这是否意味着一个集群有两个 CA,一个用于其余组件,一个用于 etcd 或者它只是一个用于整个控制平面的 CA?
- 它还说,每个集群都有自己的 'root' CA..我知道 CA 是什么,root Certificate Authority 是什么意思?
提前致谢...
1.- 没错。 masters 和 nodes 组件有一个证书,etcd 有另一个证书。 This 文章解释的更好。请注意,这是一种 GKE 方法,而不是 Kubernetes。
2.- 我通过的文章也解释了第二点。确实有两个 CA。我引用 "In GKE, the master API certificate is signed by the cluster root CA. Each cluster runs its own CA, so that if one cluster's CA were to be compromised, no other cluster CA would be affected".
我正在学习 Google 云 (GKE) 课程中的控制平面安全性并参考下面 link 中的 'certificate authority and cluster trust' 并有这些问题。有人可以澄清这些吗?
https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security
- 了解到每个集群都有它的 CA 可以颁发证书,这部分很好.. etcd 上也提到有单独的 CA... 这是否意味着一个集群有两个 CA,一个用于其余组件,一个用于 etcd 或者它只是一个用于整个控制平面的 CA?
- 它还说,每个集群都有自己的 'root' CA..我知道 CA 是什么,root Certificate Authority 是什么意思?
提前致谢...
1.- 没错。 masters 和 nodes 组件有一个证书,etcd 有另一个证书。 This 文章解释的更好。请注意,这是一种 GKE 方法,而不是 Kubernetes。
2.- 我通过的文章也解释了第二点。确实有两个 CA。我引用 "In GKE, the master API certificate is signed by the cluster root CA. Each cluster runs its own CA, so that if one cluster's CA were to be compromised, no other cluster CA would be affected".