GG
Size: a a a
2020 November 05
GG
Мозг взорвался
GG
Зачем тебе это
k
Зачем тебе это
Теперь что касается metric-server'а, которому нужно передать валидный CA для всех кубелетов или опцию
https://github.com/kubernetes/kubeadm/issues/1223#issuecomment-722629987
--kubelet-insecure-tls чтобы не ебать мозги, есть классный issue, в котором я попытался изложить суть проблемы:https://github.com/kubernetes/kubeadm/issues/1223#issuecomment-722629987
2020 November 06
k
В крадце: по дефолту все ноды в kubeadm кластере регистрируются и получают два серта:
- с одним они ходят в API
- на другой они слушают
Так вот первый сертификат (клиентский) выдаёт им сам куб, автоматически.
Второй серт (для serving) автоматически получить уже не выйдет, поэтому по умолчанию они генерят свой собственный CA и подписывают им свой сертификат на котором и слушают.
Проблема заключается в том что metric-server не может доверять им, так-как в этом случае пришлось бы передать ему CA-сертификаты со всех кубелетов.
Возникает вопрос: как kube-apiserver доверяет кубелетам, когда выполняет запросы на просмотр логов или
- с одним они ходят в API
- на другой они слушают
Так вот первый сертификат (клиентский) выдаёт им сам куб, автоматически.
Второй серт (для serving) автоматически получить уже не выйдет, поэтому по умолчанию они генерят свой собственный CA и подписывают им свой сертификат на котором и слушают.
Проблема заключается в том что metric-server не может доверять им, так-как в этом случае пришлось бы передать ему CA-сертификаты со всех кубелетов.
Возникает вопрос: как kube-apiserver доверяет кубелетам, когда выполняет запросы на просмотр логов или
kubectl execGG
Видимо, для куба в этом нет проблемы
GG
Потому что ты не можешь вджойнить ноду без токена
GG
Типа даже второй сертификат может быть кривой, но всем пофиг
GG
прошу меня простить
GG
но кажется, что авторы куба больные ублюдки
S
но кажется, что авторы куба больные ублюдки
c
Переслано от kvaps
Так, я кажись понял.
Кубелеты генерят сертификаты используя свои собственные CA, так как при джойне ноды apiserver в принципе не может гарантировать, что нода, которая джойнится, это та самая нода, а не какой-то левак с тем же именем и токеном доступа к кластеру.
По сути kubeadm-токен может гарантировать ноде что она джойнится к нужному api-server'у, но никак не наоборот.
В связи с этим был придуман механизм csr, т.е. каждому кубелету достаточно добавить в конфиг
после аппрува, кубелет получает свой собственный сертификат подписанный CA apiserver'а
Кубелеты генерят сертификаты используя свои собственные CA, так как при джойне ноды apiserver в принципе не может гарантировать, что нода, которая джойнится, это та самая нода, а не какой-то левак с тем же именем и токеном доступа к кластеру.
По сути kubeadm-токен может гарантировать ноде что она джойнится к нужному api-server'у, но никак не наоборот.
В связи с этим был придуман механизм csr, т.е. каждому кубелету достаточно добавить в конфиг
serverTLSBootstrap: trueи после джойна в кластер он непременно запросит новый сертификат.
kubectl get csr- отобразить все запросы
kubectl certificate approve <some-request>- заапрувить
после аппрува, кубелет получает свой собственный сертификат подписанный CA apiserver'а
Так в исходниках весь алгоритм расписан там три файла участвует крипта, клиент и выпускающий СА enroll, я тоже долго пытался понять пока client.go не посмотрел
c
Переслано от kvaps
- как именно apiserver верифицирует подключение к конкретному кубелету, если опция
*я знаю что нынче кубелетам положено использовать тип аутентификации Node, но как apisever может быть уверен что это тот самый кубелет запросил соединение?*
serverTLSBootstrap выключена, по дефолту kubeadm деплоит именно так.*я знаю что нынче кубелетам положено использовать тип аутентификации Node, но как apisever может быть уверен что это тот самый кубелет запросил соединение?*
Завтра гляну что там в исходниках про взаимодействие
c
Потому что ты не можешь вджойнить ноду без токена
Легко Георгий. Точее сгенерировать для нее сертификат и заменить его в ноде. Завтра пришлю как
GG
Легко Георгий. Точее сгенерировать для нее сертификат и заменить его в ноде. Завтра пришлю как
я не Георгий
c
я не Георгий
Сорри Жорж
GG
ты меня специально злишь ?
c
Жорик
Ну да, тут два уже Жоры