В чем разница между сертификатами apiserver-kubelet-client, apiserver-kubelet

Question

Я путаюсь со всеми сертификатами и ключами в Кубернетесе.

Внутри мастера у меня есть следующие сертификаты и ключи:

/etc/kubernetes/pki/apiserver.crt
/etc/kubernetes/pki/apiserver.key

/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/apiserver-kubelet-client.key

/var/lib/kubelet/pki/kubelet.crt
/var/lib/kubelet/pki/kubelet.key

apiserver-kubelet-client (crt\key) используется для безопасной связи между сервером и кублетом внутри Мастера.
Почему яесть также kubelet (crt\key)?Разве apiserver-kubelet-client (crt\key) не достаточно?

Зачем мне нужен apiserver (crt\key), если у меня есть apiserver-kubelet-client (crt\key)?

Надеюсь, кто-то может сделать заказ с этим.

Я прочитал эту статью о PKI Kubernetes, но я до сих пор не понимаю, в чем разница между вышеуказанными сертификатами и ключами.

Answer 1

При подготовке сертификатов у вас будет как минимум 1 файл.

• CA_CERT
  • вставить в узел, где работает apiserver, например, в /srv/kubernetes/ca.crt.
• MASTER_CERT
  • подписано CA_CERT
  • вставить в узел, где работает apiserver, например, в /srv/kubernetes/server.crt
• MASTER_KEY
  • вставить в узел, где работает apiserver, например, в /srv/kubernetes/server.key

Вы можете прочитать об этом в документах Kubernetes здесь .

Трудно сказать по именам ваших сертификатов, для чего они используются. Вы должны обратиться к стандартной конфигурации. Кроме того, вы можете взглянуть на kelseyhightower / kubernetes-the-hard-way , поскольку он показывает, как и когда использовать сертификаты.

Вы можете проверить этот комментарий , опубликованный на Github, о том, какие сертификаты необходимы между какими службами.