如何向 Kubernetes 添加证书以允许从自定义 Harbor 存储库中提取图像？

Question 1

导入 CA 证书的方法是正确的，但你必须在每个集群节点上执行此操作：所有主节点和工作节点。Kubernetes 仅依赖于安装在底层操作系统上的 CA。

Answer

导入 CA 证书的方法是正确的，但你必须在每个集群节点上执行此操作：所有主节点和工作节点。Kubernetes 仅依赖于安装在底层操作系统上的 CA。

Question 2

如果您不想在每个节点上安装 CA 证书，也可以运行 DaemonSet 来配置 ca 证书。请注意，这仅在 Kubernetes 配置了 containerd 运行时时才有效。

apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca
  namespace: kube-system
data:
  ca.crt: |+
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: setup-script
  namespace: kube-system
data:
  setup.sh: |
    echo "$TRUSTED_CERT" > /usr/local/share/ca-certificates/ca.crt && update-ca-certificates && systemctl restart containerd
---
apiVersion: apps/v1
kind: DaemonSet
metadata:
  namespace: kube-system
  name: node-custom-setup
  labels:
    k8s-app: node-custom-setup
spec:
  selector:
    matchLabels:
      k8s-app: node-custom-setup
  template:
    metadata:
      labels:
        k8s-app: node-custom-setup
    spec:
      hostPID: true
      hostNetwork: true
      initContainers:
      - name: init-node
        command: ["nsenter"]
        args: ["--mount=/proc/1/ns/mnt", "--", "sh", "-c", "$(SETUP_SCRIPT)"]
        image: debian
        env:
        - name: TRUSTED_CERT
          valueFrom:
            configMapKeyRef:
              name: trusted-ca
              key: ca.crt
        - name: SETUP_SCRIPT
          valueFrom:
            configMapKeyRef:
              name: setup-script
              key: setup.sh
        securityContext:
          privileged: true
      containers:
      - name: wait
        image: k8s.gcr.io/pause:3.1

来源：http://hypernephelist.com/2021/03/23/kubernetes-containerd-certificate.html

这些说明是在在 cri 中实现主机注册表目录在 containerd 1.5 中，因此如果运行新版本，可能无需重启即可进行配置。请参阅注册表配置 - 介绍。

最后，如果您在云管理集群上运行，他们可能会提供用于管理 CA 证书的自定义配置。例如，AKS-自定义 CA

Answer

如果您不想在每个节点上安装 CA 证书，也可以运行 DaemonSet 来配置 ca 证书。请注意，这仅在 Kubernetes 配置了 containerd 运行时时才有效。

apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca
  namespace: kube-system
data:
  ca.crt: |+
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: setup-script
  namespace: kube-system
data:
  setup.sh: |
    echo "$TRUSTED_CERT" > /usr/local/share/ca-certificates/ca.crt && update-ca-certificates && systemctl restart containerd
---
apiVersion: apps/v1
kind: DaemonSet
metadata:
  namespace: kube-system
  name: node-custom-setup
  labels:
    k8s-app: node-custom-setup
spec:
  selector:
    matchLabels:
      k8s-app: node-custom-setup
  template:
    metadata:
      labels:
        k8s-app: node-custom-setup
    spec:
      hostPID: true
      hostNetwork: true
      initContainers:
      - name: init-node
        command: ["nsenter"]
        args: ["--mount=/proc/1/ns/mnt", "--", "sh", "-c", "$(SETUP_SCRIPT)"]
        image: debian
        env:
        - name: TRUSTED_CERT
          valueFrom:
            configMapKeyRef:
              name: trusted-ca
              key: ca.crt
        - name: SETUP_SCRIPT
          valueFrom:
            configMapKeyRef:
              name: setup-script
              key: setup.sh
        securityContext:
          privileged: true
      containers:
      - name: wait
        image: k8s.gcr.io/pause:3.1

来源：http://hypernephelist.com/2021/03/23/kubernetes-containerd-certificate.html

这些说明是在在 cri 中实现主机注册表目录在 containerd 1.5 中，因此如果运行新版本，可能无需重启即可进行配置。请参阅注册表配置 - 介绍。

最后，如果您在云管理集群上运行，他们可能会提供用于管理 CA 证书的自定义配置。例如，AKS-自定义 CA

如何向 Kubernetes 添加证书以允许从自定义 Harbor 存储库中提取图像？

答案1

答案2

相关内容