Как мне заставить K8s `ca.crt` и` ca.key` запустить K8s на сервис-провайдере (GKE)

Question

Примечание: я не работаю локально на Minikube или чем-то еще, но GKE - но мог бы быть любым провайдером.

Я хочу иметь возможность создавать пользователей / контексты в K8s с openssl:

openssl x509 -req -in juan.csr -CA CA_LOCATION/ca.crt -CAKey CA_LOCATION/ca.key -CAcreateserial -out juan.crt -days 500

Как мне получить K8s ca.crt и ca.key? - Я нашел это для ca.crt, но так ли это и до сих пор не хватает ca.key?

kubectl get secret -o jsonpath="{.items[?(@.type==\"kubernetes.io/service-account-token\")].data['ca\.crt']}" | base64 --decode

И, кроме входа в мастер-узел /etc/kubernetes/pki/.

Answer 1

Я бы предложил посмотреть следующую документацию о том, как сгенерировать ca.key и ca.crt для вашего кластера kubernetes. Пожалуйста, имейте в виду, что это не официальный документ Google, однако это может помочь вам достичь того, что вы ищете.

Вот команды, найденные в документе.

Генерация ca.key: openssl genrsa -out ca.key 2048

Генерировать ca.cert: openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt

РЕДАКТИРОВАТЬ

Я нашел 2 неподдерживаемых документа [1] [2] при создании сертификата и ключа с openssl, он должен применяться с kubernetes.