Настройте локальный кубектл с ранчером

Question

Я скопировал файл конфигурации ранчера в локальную конфигурацию Kube, и, как только я попытался подключиться, получаю сообщение об ошибке

Unable to connect to the server: x509: certificate signed by unknown authority

Я не являюсь администратором этого кластера и не могу изменить настройки. Так что я погуглил, что могу добавить

insecure-skip-tls-verify: true

и удалить сертификаты, оставив только имя пользователя и токен, и он начинает работать.

Можете ли вы объяснить мне, безопасно ли использовать его кактак и зачем нам вообще нужны сертификаты, если они могут работать и без него?

Answer 1

Вы можете рассматривать это как дополнительный уровень безопасности. Если вы позволяете кому-то (в данном случае себе) подключаться к кластеру и управлять им без необходимости иметь надлежащий сертификат, просто имейте в виду, что вы разрешаете это для всех остальных.

insecure-skip-tls-verify: true

довольно сам- Объяснительно - да, это небезопасно, так как пропускает проверку TLS и не рекомендуется на производстве. Как вы можете прочитать в документации :

- insecure-skip-tls-verify Если установлено значение true, сертификат сервера не будет проверен на достоверность. Это сделает ваши HTTPS-соединения небезопасными

Имя пользователя и токен обеспечивают некоторый уровень безопасности, так как они все еще необходимы для возможности подключения, но это не имеет ничего общего с установлением безопасного доверенного соединения. По умолчанию это могут делать только те клиенты, которые также имеют соответствующий сертификат. Если вы не хотите пропустить проверку tls, вы можете попробовать это решение. Только для kubernetes> = 1.15 используйте команду kubeadm alpha certs renew all.

Подробнее об управлении сертификатами TLS в кластере Kubernetes вы можете прочитать здесь .