Kubernetes CKA課程筆記 40
在筆記16執行kubeadm init指令的時候其實就有見到了K8s產生的憑證檔案
當時截圖畫面如下:
憑證檔案存放路徑如上圖,位在/etc/kubernetes/pki目錄下
並且kubeadm init同時也建立了client憑證提供用來請求API Server的服務
例如給kubelet的憑證如下圖:
scheduler也有如下圖:
controller-manager也有:
至於這些憑證由誰簽發的,誰是CA?
其實是kubeadm也同時建立了CA給kubernetes cluster
總共有兩個CA:
- 一個給API-Server(或給整個Cluster又稱cluster root CA/kubernetes CA)
- 另一個是提供給etcd的CA
但是有個問題是這些憑證都是kubernetes cluster自簽的,並非公發憑證
一般cluster內部clinet Component
(如etcd,controller-manager,scheduler等)
如何與API-Server做認證?
答案是這些clinet Component會將kubernetes CA複製一份過去使用
如上圖,所以kubelet能夠信任API-Server的服務,因為已經儲存了該CA複製
