EKS 中的证书签名
【以下的问题经过翻译处理】 客户需要在 Kubernetes 中为其扩展生成 X509 证书(验证/变异/转换 webhook)。 标准方式 是通过CertificateSigningRequest来实现此目的,但 EKS [没有](https:// docs.aws.amazon.com/eks/latest/userguide/platform-versions.html#platform-versions-1.19) 安装 CertificateSigning admission controller,因此 CSR 无法被签名。
有没有一种方法可以在EKS上启用CertificateSigning admission controller,或者有没有其他最佳实践来为EKS集群内部使用(即kube-apiserver <->自定义开发的Web钩子)生成和更新X509证书?
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 我遇到过类似的问题。Admission controllers(变异/验证)和 kube-apiserver 仅通过 HTTPS 进行通信。Admission controllers需要 TLS 证书。
对于这个问题,我有几个解决方案,虽然它们不是EKS的原生解决方案,但您可以使用开源解决方案。
1.使用Cert-manager(Kubernetes的X.509证书管理); cert-manager 是一个可以运行在 EKS 上的证书管理控制器。 cert-manager可以从Let's Encrypt、HashiCorp Vault、Venafi、简单的签名密钥对或自签名证书颁发证书。其中的一个重要优点是它可以确保证书的有效性和最新性,并在到期前的配置时间尝试续订证书。 2. 这个场景也可以使用开源工具k8s-webhook-cert-manager,链接: https://github.com/newrelic/k8s-webhook-cert-manager> 3. 另一个基于上述工具的开源工具也可使用,名为k8s-webhook-certificator,链接: https://github.com/Trendyol/k8s-webhook-certificator
我建议在 EKS 上使用 cert-manager,这是一个 CNCF 项目。如果不使用cert-manager,还可以考虑其他两个工具。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前