반응형
K8s의 TLS(openssl사용) 구성은 크게 3가지로 분류 한다
모두 최상위 인증(ROOT CA)가 “Issuer: CN = Kubernetes” 이고, “Subject: CN”은 Certificates 마다 다름.
□ CERTIFICATE AUTHORITY(CA) - 최상위 인증 (ROOT CA)
- Ca.crt, Ca.key
- Ca.crt를 통해 인증한 *.crt파일을 생성 한다
ex) openssl x509 –req in xxx.csr –CA ca.crt –Cakey ca.key –out xxx.crt
□ Client Certificates
- admin.crt, kube-scheduler.crt, controller-manager.crt, kube-proxy 등
□ Server Certificates for Servers
- etcd-server,api-server,kubelet server
각 Certificate의 CN/만료일 정보는 아래와 같다.
#sample
openssl x509 -in <인증파일> -noout -text
#example
cd /etc/kubernetes/pki;
openssl x509 -in ca.crt -noout -text
아래 그림을 보면 각 인증서 별로 "Issuer: CN = kubernetes"로 같지만, "Subject: CN"은 component별로 다르다는 것을 확인 할 수 있다.
반응형
'클라우드 > K8S' 카테고리의 다른 글
| [k8s] security context 사용법(with multi-container) (0) | 2023.01.31 |
|---|---|
| [k8s] 신규 인증서 생성, 승인 (0) | 2023.01.27 |
| helm 명령어 (0) | 2023.01.02 |
| [system log]failed to get system container stats (0) | 2022.12.19 |
| [k8s] orphaned pod 조치 (0) | 2022.12.16 |