由于不明的授权机构签署的证书,WebHook不会调用端点

问题描述 投票:0回答:1
我正在使用mutating webhook开发kind,据我所知,API端点应为https。 API服务器的证书和密钥应使用群集本身的CA进行签名,以解决自签名证书的发布。并且,为此,建议执行以下步骤:

    创建密钥-openssl genrsa -out app.key 2048
  1. 创建CSR-openssl req -new -key app.key -subj "/CN=${CSR_NAME}" -out app.csr -config csr.conf
  2. 在kubernetes中创建CSR对象-kubectl create -f csr.yaml
  3. 批准CSR-kubectl certificate approve csr_name
  4. 提取PEM-kubectl get csr app.csr -o jsonpath='{.status.certificate}' | openssl base64 -d -A -out app.pem

  • 注意1. csr.conf具有成功设置CSR的详细信息。2. csr.yaml是为kuberenetes类型CertificateSigningRequest编写的。3. csr_nameCertificateSigningRequest中定义。4. spec.request中的csr.yaml设置为cat app.csr | base64 | tr -d '\n'。5. app.pemapp.key用于设置https端点。

    端点绝对可以到达,但错误出在:

    Internal error occurred: failed calling webhook "com.me.webhooks.demo": Post https://webhook.sidecars.svc:443/mutate?timeout=10s: x509: certificate signed by unknown authority 

    如何解决certificate signed by unknown authority问题?
    参考:1.Writing a very basic kubernetes mutating admission webhook2. Diving into Kubernetes MutatingAdmissionWebhook
    • ssl kubernetes webhooks pem certificate-authority
    1个回答
    1
    投票
    不需要使用群集的CA根进行签名。它只需要匹配webhook配置中的CA捆绑包。
    最新问题
    © www.soinside.com 2019 - 2024. All rights reserved.