LINUX.ORG.RU
ФорумAdmin

Kubernetes и сертификаты

 


0

1

Всем привет. )

Что-то не могу въехать как такое сделать.

Есть корневой самоподписанный сертификат компании назовем его company-root-ca.crt.
Для kubernetes выпускаем свой корневой сертификат и подписываем его company-root-ca.crt и называем его kubernetes-root-ca.crt.
Все тут работает если при разворачивании kubernetes-кластера положить kubernetes-root-ca.crt и его закрытый ключ «куда нада», то все работает, кубернетес успешно выпускает сертификаты для для всех своих нужд.
Получается, чтобы проверить сертификат который был подписан kubernetes-root-ca.crt нам нужно иметь ssl-bundle-файл с двумя этими корневыми сертификатами: company-root-ca.crt и kubernetes-root-ca.crt.
Как-бы все логично… И оно так и есть и все тут работает. Но, есть вопрос…

Как сделать чтобы при монтировании пода по пути /var/run/secrets/kubernetes.io/serviceaccount/ca.crt был не только kubernetes-root-ca.crt, а и company-root-ca.crt тоже.
Т.е. чтобы там были эти два сертификата.
Как туда добавить еще один корневой сертификат?

Или как-то это нужно решать по-другому?

Спасибо.


Ответ на: комментарий от ukr_unix_user

Вопрос был для тех кто знаком с kubernetes.

denisE
() автор топика

не только kubernetes-root-ca.crt, а и company-root-ca.crt тоже

А отдельно добавить company-root-ca.crt как секрет и смонтировать куда-нибудь не вариант?

no-such-file ★★★★★
()
Ответ на: комментарий от denisE

не удобно…

А пробовал дефотный секрет обновить? Т.е. совмещённый сертификат туда засунуть вместо того который автоматом создался.

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Нет, не пробовал.

Кластер работает, не хочется его завалить.

Перелопатил доки и разные форумы, по-ходу пьесы так нельзя. Туда попадает только CA-roo только кубирнетиса.

Странно как-то это все сделано, неужели ни кто с таким кейсом как у меня не сталкивался? Вот в чём вопрос…

denisE
() автор топика
Ответ на: комментарий от denisE

Кластер работает, не хочется его завалить

Ты попробуй в minikube

Туда попадает только CA-roo только кубирнетиса

Ну это автоматом, а обновить ИМХО ничто не мешает, это же обычный секрет.

no-such-file ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.