[meta: здесь больше вопросов о Kubernetes, чем о Serverfault, поэтому задайте здесь, даже если это не вопрос программирования. Пожалуйста, отметьте для миграции, если спрашивать здесь неуместно]
Резюме : Как подписываются сертификаты Kubelet в Kops? По крайней мере, в нашей среде они, похоже, используют CA на узел .
информация
Проверка SSL-сертификатов конечной точки Kubelet в нашем развертывании Kops (Kops управляет Kubernetes v1.12.9). Я вижу следующие детали сертификата
subject=CN = ip-10-1-2-3.ec2.internal@1561089780
issuer=CN = ip-10-1-2-3.ec2.internal-ca@1561089780
Обратите внимание, что эмитент выглядит специфично для этого узла. Как на самом деле api-сервер общается с kubelets? Конечно, аутентификация не будет выполнена из-за неизвестного (для api-сервера) CA. Но это, очевидно, работает, потому что кластер работает, но я не понимаю, почему.
В отличие от этого, в учебных целях я настраивал кластер вручную , и там субъект и источники сертификата Kubelet:
subject=CN=system:node:worker-1
issuer=CN=Kubernetes
(некоторые локализации опущены)
У которого, как и следовало ожидать, есть общий ЦС, подписывающий все сертификаты Kubelet - api-сервер затем использует этот ЦС с --client-ca-file для включения аутентификации в Kubelets.