我看到 kubelet 正在 /var/run/kubernetes/ 中创建一对自签名证书:
# ll /var/run/kubernetes/
total 8
-rw-r--r--. 1 root root 1164 iul 6 05:38 kubelet.crt
-rw-------. 1 root root 1679 iul 6 05:38 kubelet.key
这些用于他自己的 tls 配置,并且还设置了“CA:TRUE”。如果被删除,它们会被重新创建。
我的第一个问题是用 CA:true 制作它们的目的是什么? kubelet 是否使用这些证书创建其他证书?如果是,出于什么目的?
为什么 apiserver 会自动信任这些证书?
最好的问候, 克里斯蒂安
【问题讨论】:
标签: kubernetes kubelet
kubelet 需要其 HTTPS 服务器在端口 10250 上的证书。它不需要签署证书,因此 CA:TRUE 是多余的。不知道为什么会这样创建。
IIRC,kube-apiserver 信任任何证书,如果它在没有 --tls-ca-file 设置的情况下运行。我记得一些较旧的 k8s 教程没有强制执行 TLS。
此外,在您开启 kubelet authentication 之前,任何人/任何事物都可以不受限制地访问 kubelet。
无论如何,如果以这种方式运行,您的 k8s 集群是不安全的。我建议使用 kargo、kops、kubeadm 或任何一种知名工具来提升您的集群。这些解决方案会在设置过程中构建适当的证书层次结构。
来自kubelet's docs的额外信息:
--cert-dir string The directory where the TLS certs are located (by default /var/run/kubernetes). If --tls-cert-file and --tls-private-key-file are provided, this flag will be ignored. (default "/var/run/kubernetes")
--tls-cert-file string File containing x509 Certificate for HTTPS. (CA cert, if any, concatenated after server cert). If --tls-cert-file and --tls-private-key-file are not provided, a self-signed certificate and key are generated for the public address and saved to the directory passed to --cert-dir.
--port int32 The port for the Kubelet to serve on. (default 10250)
【讨论】: