允许kubernetes storageclass resturl具有自签名证书的HTTPS

问题描述 投票:0回答:1

我目前正在尝试为Kubernetes集群设置GlusterFS集成。卷配置由Heketi完成。

GlusterFS-cluster具有3个VM的池第一个节点已配置了Heketi服务器和客户端。 Heketi API使用自签名证书OpenSSL进行保护,可以访问。

例如卷曲https://heketinodeip:8080/hello -k返回预期的响应。

[StorageClass定义将“ resturl”设置为Heketi API https://heketinodeip:8080

成功创建存储类并且尝试创建PVC时,此操作失败:

“ x509:证书由未知机构签名”

这是预期的,因为通常必须允许这种不安全的HTTPS连接或显式导入颁发者CA(例如,仅包含pem-String的文件)

但是:对于Kubernetes,这是如何完成的?如何允许从Kubernetes到Heketi的这种不安全连接,允许不安全的自签名证书HTTPS或在何处/如何导入CA?

这不是DNS / IP问题,使用正确的subjectAltName设置已解决。

(似乎每个人都在使用Heketi,并且似乎仍然是GlusterFS集成的标准用例,但如果连接到Kubernetes,则始终没有SSL)

谢谢!

ssl kubernetes openssl glusterfs
1个回答
0
投票

To skip verification of server cert, caller just need specify InsecureSkipVerify: true.有关更多信息,请参见此github问题(https://github.com/heketi/heketi/issues/1467

在此页面中,他们指定了一种使用自签名证书的方法。尚未详细解释,但仍然有用(https://github.com/gluster/gluster-kubernetes/blob/master/docs/design/tls-security.md#self-signed-keys)。

© www.soinside.com 2019 - 2024. All rights reserved.