自签名证书可以用于 kubernetes 验证 webhooks 吗?
Self-signed certificates ok for kubernetes validating webhooks?
我正在尝试了解将自签名证书用于 Kubernetes 验证 webhook 的安全隐患。
如果我没理解错的话,证书只是用来通过 https 为验证 webhook 服务器提供服务。当 Kubernetes api-server 收到与验证 webhook 配置相匹配的请求时,它将首先通过 https 与验证 webhook 服务器进行检查。如果您的验证 webhook 服务器位于 Kubernetes 集群上(不是外部的),那么此流量都是 Kubernetes 集群内部的。如果是这种情况,证书是自签名的是否有问题?
If I'm understanding correctly, the certificate is simply used to be
able to serve the validating webhook server over https.
基本上是。
If your validating webhook server lives on the Kubernetes cluster (is
not external) then this traffic is all internal to a Kubernetes
cluster. If this is the case is it problematic that the cert is
self-signed?
如果以安全的方式正确处理颁发过程,自签名证书应该根本不是问题。与 this 示例进行比较。
我正在尝试了解将自签名证书用于 Kubernetes 验证 webhook 的安全隐患。
如果我没理解错的话,证书只是用来通过 https 为验证 webhook 服务器提供服务。当 Kubernetes api-server 收到与验证 webhook 配置相匹配的请求时,它将首先通过 https 与验证 webhook 服务器进行检查。如果您的验证 webhook 服务器位于 Kubernetes 集群上(不是外部的),那么此流量都是 Kubernetes 集群内部的。如果是这种情况,证书是自签名的是否有问题?
If I'm understanding correctly, the certificate is simply used to be able to serve the validating webhook server over https.
基本上是。
If your validating webhook server lives on the Kubernetes cluster (is not external) then this traffic is all internal to a Kubernetes cluster. If this is the case is it problematic that the cert is self-signed?
如果以安全的方式正确处理颁发过程,自签名证书应该根本不是问题。与 this 示例进行比较。