允许使用自签名证书的kubernetes storageclass resturl HTTPS
我目前正在尝试为Kubernetes集群设置GlusterFS集成。卷配置是使用Heketi完成的。
GlusterFS-cluster有一个由3个VM组成的池,第一个节点配置了Heketi服务器和客户端。Heketi API使用自签名证书OpenSSL进行安全保护,可以访问。
例如,curl https://heketinodeip:8080/hello -k返回预期的响应。
StorageClass定义将"resturl“设置为Heketi API https://heketinodeip:8080
当storageclass成功创建,并且我尝试创建PVC时,这将失败:
"x509:未知颁发机构签署的证书“
这是预期的,因为通常必须允许这种不安全的HTTPS连接或显式地导入颁发者CA (例如,仅包含pem字符串的文件)
但是: Kubernetes是如何做到这一点的?如何允许从Kubernetes到Heketi的不安全连接,允许不安全的自签名证书HTTPS,或者在哪里/如何导入CA?
这不是DNS/IP问题,已通过正确的subjectAltName设置解决。
(似乎每个人都在使用Heketi,它似乎仍然是GlusterFS集成的标准用例,但如果连接到Kubernetes,总是没有SSL )
谢谢!
回答 1
Stack Overflow用户
发布于 2020-02-20 09:59:39
有关详细信息,请参阅此github问题(https://github.com/heketi/heketi/issues/1467)
在此页面中,他们指定了一种使用自签名证书的方法。没有详细解释,但仍然可以是有用的(https://github.com/gluster/gluster-kubernetes/blob/master/docs/design/tls-security.md#self-signed-keys)。
https://stackoverflow.com/questions/60310378
复制相似问题
腾讯云开发者
