kubernetes 組件相關(guān)證書圖解

Kubernetes證書很多，這里簡單整理，加上了圖解，方便大家學(xué)習(xí)。

最重要的是公鑰ca.pem 和私鑰 ca-key.pem，后續(xù)所有證書均由此CA簽署，給k8s不同組件使用，這里所有的證書文件，均是使用cfssl工具生成。

etcd：使用 ca.pem、 etcd.pem、etc-key.pem。

kube-apiserver：使用 ca.pem、kubernetes-key.pem、kubernetes.pem、admin.pem。

kubelet：使用 ca.pem。

kube-proxy：使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem。

kube-proxy 證書請求中，CN 指定該證書的 User 為 system:kube-proxy，預(yù)定義的 ClusterRoleBinding system:node-proxier 將User system:kube-proxy 與 Role system:node-proxier 綁定，授予了調(diào)用 kube-apiserver Proxy 相關(guān) API 的權(quán)限

kubectl：使用 ca.pem、admin-key.pem、admin.pem。

使用admin用戶，?admin-csr.json 證書請求中?O?指定該證書的 Group 為?system:masters，而?RBAC?預(yù)定義的?ClusterRoleBinding?將 Group?system:masters?與 ClusterRole?cluster-admin?綁定，這就賦予了kubectl**所有集群權(quán)限 **

kube-controller-manager：使用 ca-key.pem、ca.pem。

schedule:?使用apiserver的 --insecure 端口進行通信，無需證書配置。

basic-auth:???可選，為后續(xù)使用基礎(chǔ)認證的場景做準備，如實現(xiàn)dashboard 用不同用戶名登陸綁定不同的權(quán)限，后續(xù)更新dashboard的實踐文檔。

Kubernetes

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。