В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

5529 membersпожаловаться на группу
2020 November 05

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
- как именно apiserver верифицирует подключение к конкретному кубелету, если опция serverTLSBootstrap выключена, по дефолту kubeadm деплоит именно так.

*я знаю что нынче кубелетам положено использовать тип аутентификации Node, но как apisever может быть уверен что это тот самый кубелет запросил соединение?*
источник
23:54пожаловаться#1

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
> Кубелеты генерят сертификаты используя свои собственные CA,
нет
они создают объекты типа certificatesigningrequests.certificates.k8s.io
и шлют их в аписервер через CertificateSigningRequest-апи
и если ты (или специально-обученный робот) эти CSR'ы аппрувит, то контроллер-манагер генерит сертификат и подписывает правильным CA
источник
23:54пожаловаться#2

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Так вот по дефолту они этого не делают до тех пор, пока ты им явно в конфиге не пропишешь:
serverTLSBootstrap: true
источник
23:54пожаловаться#3

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
и ещё 
authentication:
  x509:
    clientCAFile: "/etc/kubernetes/ssl/ca-cluster_signing.pem"
источник
23:54пожаловаться#4

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
там их два
один (client) для того, чтобы представляться в аписервере, а второй (server) - чтобы использовать для входящих запросов - аписервер, прометеи там всякие, метрикс-сервер, etc
источник
23:54пожаловаться#5

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
кубеадм при kubeadm join делает это за тебя, поэтому бутстрап не нужен
источник
23:54пожаловаться#6

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
всмысле выпускает сертификат, аппрувит, раскладывает, etc
источник
23:54пожаловаться#7

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Это используетя для верификации запросов от apiserverа, с этим всё понятно:

authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt

в кубелете можно аутентифицироваться по сертификату подписанному CA, либо через вебхук.
источник
23:54пожаловаться#8

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Вопрос в обратной связи, как apiserver верифицирует подключения от kubelet'a?
источник
23:54пожаловаться#9

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
с помощью CN в его клиентском сертификате
источник
23:54пожаловаться#10

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Неа не делает, точно тебе говорю
(я про серт для сервинга)
источник
23:54пожаловаться#11

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
# openssl x509 -in /etc/kubernetes/ssl/kubelet-client-current.pem -noout -text | grep -Eo 'CN = system:(.+)'
CN = system:node:web05-amplifr-ru
источник
23:54пожаловаться#12

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Да, точно!
У меня есть клиентский сертификат, подписанный CA
источник
23:54пожаловаться#13

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Окей, тогда другой вопрос, если kubeadm выписыват клиентский сертификат, то почему он не делает того-же по умолчанию автоматически для kubelet server'а?
источник
23:54пожаловаться#14

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
https://kubernetes.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers
Kubernetes
Certificate Signing Requests
FEATURE STATE: Kubernetes v1.19 [stable]  The Certificates API enables automation of X.509 credential provisioning by providing a programmatic interface for clients of the Kubernetes API to request and obtain X.509 certificates from a Certificate Authority (CA).
A CertificateSigningRequest (CSR) resource is used to request that a certificate be signed by a denoted signer, after which the request may be approved or denied before finally being signed.
Request signing process The CertificateSigningRequest resource type allows a client to ask for an X.
источник
23:54пожаловаться#15

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
kubernetes.io/kube-apiserver-client-kubelet
- May be auto-approved by kube-controller-manager.

kubernetes.io/kubelet-serving
- Never auto-approved by kube-controller-manager.
источник
23:54пожаловаться#16

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
видимо зона риска меньше
источник
23:54пожаловаться#17

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от kvaps
Это объясняет зачем нужен authorization mode Node для kube-apiserver, по сути он выдаёт кубелету все права на его related-ресурсы но не больше.
источник
23:54пожаловаться#18

k

kvaps in Kubernetes — русскоговорящее сообщество
Переслано от Maxim Filatov
не уверен, что это вопрос ко мне
но для запуска и регистрации ноды без предварительного бутстрапа достаточно клиентского, серверный можно выпустить и потом
наверное поэтому
источник
23:54пожаловаться#19

k

kvaps in Kubernetes — русскоговорящее сообщество
если есть мысли на этот счёт, с радостью их выслушаю
источник
23:55пожаловаться#20