1

我正在学习谷歌云(GKE)中的控制平面安全课程,并在下面的链接中提到“证书颁发机构和集群信任”,并有这些问题。有人可以澄清这些吗?

https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security

  1. 了解到每个集群都有其可以颁发证书的 CA,这部分很好.. 还提到etcd 有单独的 CA ...这是否意味着一个集群有两个 CA,一个用于其余组件,一个用于etcd 或者它只是整个控制平面的一个 CA?
  2. 它还说,每个集群都有自己的“根”CA..我知道 CA 是什么,根证书颁发机构是什么意思?

提前致谢...

4

1 回答 1

2

1.- 没错。主节点和节点组件有一个证书,etcd 有另一个证书。这篇文章解释的更好。请注意,这是一种 GKE 方法,而不是 Kubernetes。

2.-我通过的文章也解释了第二点。实际上有两个 CA。我引用了“在 GKE 中,主 API 证书由集群根 CA 签名。每个集群运行自己的 CA,因此如果一个集群的 CA 被破坏,其他集群 CA 不会受到影响”。

于 2020-06-02T23:22:31.080 回答