azure сервис kubernetes - самоподписанный сертификат в личном реестре

Question

У меня создан туннель между моей подпиской azure и моими локальными серверами. На прем у нас есть артефактный сервер, на котором размещены все наши docker изображения. Для всех внутренних серверов у нас есть доверие CA всей компании, и все сертификаты генерируются из этого.

Однако, когда я пытаюсь развернуть что-то в aks и обратиться к этому реестру docker. Я получаю ошибку сертификата, потому что сами узлы не доверяют самоподписанному сертификату "in house".

Есть ли способ добавить цепочку CA root в узлы? Или способ сообщить демону docker на узлах aks, что это небезопасный реестр?

Answer 1

Для начала я бы порекомендовал вам использовать curl для проверки соединения между вашим azure кластером и на Prem Server.

Пожалуйста, используйте curl и curl -k и проверьте, если они обе работы (-k разрешают подключения к сайтам SSL без сертификатов, я полагаю, это не будет работать, что означает, что у вас нет предварительных сертификатов на кластере azure)

Если curl -k не будет затем вам нужно скопировать и добавить сертификаты из Prem в кластер azure.

Ссылки, которые помогут вам сделать это

• https://docs.docker.com/ee/enable-client-certificate-authentication/
• https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate

И нашел некоторые сведения о том, как сделать это с docker daemon

• https://docs.docker.com/registry/insecure/

Надеюсь, это поможет вам. Дайте мне знать, если у вас есть еще вопросы.

Answer 2

Не уверен на сто процентов, но вы можете попытаться использовать конфигурацию docker для создания секрета для извлечения образа, команда, подобная этой:

cat ~/.docker/config.json | base64

Затем создайте секрет, как это:

apiVersion: v1
kind: Secret
metadata:
 name: registrypullsecret
data:
 .dockerconfigjson: <base-64-encoded-json-here>
type: kubernetes.io/dockerconfigjson

Используйте этот секрет в своем развертывании или модуле в качестве значения imagePullSecrets. Подробнее см. Использование частного Docker реестра с Kubernetes .

.