我正在学习谷歌云中的控制平面安全(GKE(课程,并在下面的链接中提到"证书颁发机构和集群信任",并有这些问题。有人可以澄清这些吗?
https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security
- 了解到每个集群都有其会颁发证书的 CA,这部分很好.. 还提到了etcd 具有单独的 CA...这是否意味着集群有两个 CA,一个用于其余组件,一个用于 etcd,或者它只是一个用于整个控制平面的 CA?
- 它还说,每个集群都有自己的"根"CA。我知道什么是CA,根证书颁发机构是什么意思?
提前感谢...
1.- 没错。有一个证书用于主节点和节点组件,另一个证书用于 etcd。这篇文章解释更好。请注意,这是一种 GKE 方法,而不是 Kubernetes。
2.-我通过的文章也解释了第二点。确实有两个CA。我引用"在 GKE 中,主 API 证书由集群根 CA 签名。每个集群都运行自己的 CA,因此,如果一个集群的 CA 受到威胁,其他集群 CA 都不会受到影响"。