问题描述
我正在尝试了解将自签名证书用于 Kubernetes 验证网络钩子的安全含义。
如果我理解正确,证书只是用来通过 https 为验证 webhook 服务器提供服务。当 Kubernetes api-server 收到与验证 webhook 的配置匹配的请求时,它会首先通过 https 与验证 webhook 服务器进行检查。如果您的验证 webhook 服务器位于 Kubernetes 集群上(不是外部的),那么此流量都在 Kubernetes 集群内部。如果是这种情况,证书是自签名的有问题吗?
解决方法
如果我理解正确,证书只是用来 能够通过 https 为验证 webhook 服务器提供服务。
基本上是的。
如果您的验证 webhook 服务器位于 Kubernetes 集群上(是 不是外部的)那么这个流量都是在 Kubernetes 内部的 簇。如果是这种情况,证书是否有问题 自签名?
如果颁发过程以安全的方式处理得当,自签名证书就完全不成问题。与 this 示例进行比较。