Kubernetes中的etcd的单独CA?

问题描述 投票:1回答:1

我正在通过谷歌云(GKE)课程中的控制平面安全,并参考下面链接中的 "证书授权和集群信任",并有这些问题。谁能澄清一下这些问题?

https:/cloud.google.comkubernetes-enginedocsconceptscontrol-plan-security

  1. 了解到每一个集群都有自己的on CA,会发证书,这部分是没有问题的......也有一个提到的 等有独立CA的D......这是否意味着一个集群有两个CA,一个用于其他组件,一个用于等速器,还是整个控制平面只有一个CA?
  2. 它还说,每个集群都有自己的 "根 "CA...我知道什么是CA,什么是 "根 "CA?根证书颁发机构 意思是?

先谢谢你...

kubernetes etcd kubernetes-security
1个回答
2
投票

1.-这是正确的。主站和节点组件有一个证书,etcd有一个证书。这个 文章解释是比较好的。注意,这是GKE的方法,不是Kubernetes。

2.-我传的文章也解释了这第二点。确实有两个CA。我引用 "在GKE中,主API证书由集群根CA签署。每个集群都运行着自己的CA,所以如果一个集群的CA被泄露,其他集群的CA不会受到影响"。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.