我目前正在尝试为Kubernetes集群设置GlusterFS集成。卷配置由Heketi完成。
GlusterFS-cluster具有3个VM的池第一个节点已配置了Heketi服务器和客户端。 Heketi API使用自签名证书OpenSSL进行保护,可以访问。
例如卷曲https://heketinodeip:8080/hello -k返回预期的响应。
[StorageClass定义将“ resturl”设置为Heketi API https://heketinodeip:8080
成功创建存储类并且尝试创建PVC时,此操作失败:
“ x509:证书由未知机构签名”
这是预期的,因为通常必须允许这种不安全的HTTPS连接或显式导入颁发者CA(例如,仅包含pem-String的文件)
但是:对于Kubernetes,这是如何完成的?如何允许从Kubernetes到Heketi的这种不安全连接,允许不安全的自签名证书HTTPS或在何处/如何导入CA?
这不是DNS / IP问题,使用正确的subjectAltName设置已解决。
(似乎每个人都在使用Heketi,并且似乎仍然是GlusterFS集成的标准用例,但如果连接到Kubernetes,则始终没有SSL)
谢谢!
To skip verification of server cert, caller just need specify InsecureSkipVerify: true.
有关更多信息,请参见此github问题(https://github.com/heketi/heketi/issues/1467)
在此页面中,他们指定了一种使用自签名证书的方法。尚未详细解释,但仍然有用(https://github.com/gluster/gluster-kubernetes/blob/master/docs/design/tls-security.md#self-signed-keys)。