Kubernetes k8s中TLS引导中的群集信息configmap是什么？_Kubernetes

Kubernetes k8s中TLS引导中的群集信息configmap是什么？

kubernetes

Kubernetes k8s中TLS引导中的群集信息configmap是什么？,kubernetes,Kubernetes,我试图通过TLS引导一个工作节点加入我现有的由1个主节点和2个工作节点组成的集群。下面是我遵循的过程- 在主机上创建用于初始身份验证的引导令牌创建适当的集群角色绑定，以允许kubelet提交、批准和轮换证书在工作节点上创建引导kubeconfig文件创建kubelet服务并启动它所有这些都可以正常工作，我的新工作节点能够毫无问题地加入集群但是现在我在引导过程中遇到了一个叫做集群信息configmap签名的东西它到底是什么，以及它在引导过程中如何帮助我？我看了k8s上的文档，但他们没有

我试图通过TLS引导一个工作节点加入我现有的由1个主节点和2个工作节点组成的集群。下面是我遵循的过程-

在主机上创建用于初始身份验证的引导令牌

创建适当的集群角色绑定，以允许kubelet提交、批准和轮换证书

在工作节点上创建引导kubeconfig文件

创建kubelet服务并启动它

所有这些都可以正常工作，我的新工作节点能够毫无问题地加入集群

但是现在我在引导过程中遇到了一个叫做集群信息configmap签名的东西

它到底是什么，以及它在引导过程中如何帮助我？我看了k8s上的文档，但他们没有给出很多细节。我所知道的是，您必须创建一个名为cluster info的configmap，但不确定如何使用它以及为什么使用它

提前谢谢

p、 s-如果有任何链接详细阐述了此过程，并提供了实际示例，请与我们分享。

您可以在kubernetes代码中找到一些信息：

以及一些信息，当您使用kubeadm引导时：

kubeadm将实施以下流程：

kubeadm连接到通过TLS指定的API服务器地址。因为我们还没有根要信任的证书，这是一个不安全的连接，服务器证书未经验证。kubeadm根本不提供身份验证凭据

实现说明：API服务器不必公开新的和特殊的不安全HTTP端点。（D） DoS问题：在该流安全地公开使用/启用（非引导时）之前，API服务器必须支持速率限制

kubeadm请求包含上面定义的kubeconfig文件的ConfigMap。此配置映射存在于一个众所周知的URL：

https:///api/v1/namespaces/kube-public/configmaps/cluster-info

这个配置图是公开的。用户无需通过身份验证即可读取此ConfigMap。事实上，客户端不能在这里使用承载令牌，因为我们还不信任这个端点

API服务器正常返回带有kubeconfig内容的ConfigMap 该ConfigMap上的额外数据项包含JWS签名。kubeadm根据令牌的令牌id部分查找正确的签名

kubeadm验证JWS，现在可以信任服务器。由于可以信任kubeconfig文件中的CA证书，因此进一步的通信更简单

为了保护群集的安全，您可以关闭对群集信息的公共访问：