问题描述
我正在努力引入一项新服务,该服务将与其他服务一起部署在现有节点中。
该服务需要通过 HTTPS 与 Kubernetes API Server 通信,因此我必须执行 TLS 引导。我能够生成 CSR,但我不知道如何配置控制器管理器以自动批准生成的 CSR。
我在网上浏览了大量资源,发现几乎所有资源都专注于 kubelet TLS 引导,这不适用于我,因为我正在引入一项新服务(不是需要引导的新节点) kubelet)。如果我错了,请纠正我。
在考虑我的设计一段时间后,我认为该服务在生成 CSR 后,也可以在将其发送到 API 服务器之前自行批准 CSR。这意味着控制器管理器现在只需要签署 CSR:high-level flow chart
从安全角度来看,这是合适的设计吗?控制器管理器仍然基于证书颁发机构 (CA) 对 CSR 进行签名,并且为控制器管理器和 API 服务器配置了相同的 CA。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)