Kubernetes k8s中TLS引导中的群集信息configmap是什么?
我试图通过TLS引导一个工作节点加入我现有的由1个主节点和2个工作节点组成的集群。下面是我遵循的过程-Kubernetes k8s中TLS引导中的群集信息configmap是什么?,kubernetes,Kubernetes,我试图通过TLS引导一个工作节点加入我现有的由1个主节点和2个工作节点组成的集群。下面是我遵循的过程- 在主机上创建用于初始身份验证的引导令牌 创建适当的集群角色绑定,以允许kubelet提交、批准和轮换证书 在工作节点上创建引导kubeconfig文件 创建kubelet服务并启动它 所有这些都可以正常工作,我的新工作节点能够毫无问题地加入集群 但是现在我在引导过程中遇到了一个叫做集群信息configmap签名的东西 它到底是什么,以及它在引导过程中如何帮助我?我看了k8s上的文档,但他们没有
p、 s-如果有任何链接详细阐述了此过程,并提供了实际示例,请与我们分享。您可以在kubernetes代码中找到一些信息: 以及一些信息,当您使用kubeadm引导时: kubeadm将实施以下流程: kubeadm连接到通过TLS指定的API服务器地址。因为我们还没有根 要信任的证书,这是一个不安全的连接,服务器证书未经验证。kubeadm根本不提供身份验证凭据 实现说明:API服务器不必公开新的和特殊的不安全HTTP端点。 (D) DoS问题:在该流安全地公开使用/启用(非引导时)之前,API服务器必须支持速率限制 kubeadm请求包含上面定义的kubeconfig文件的ConfigMap。 此配置映射存在于一个众所周知的URL: https:///api/v1/namespaces/kube-public/configmaps/cluster-info 这个配置图是公开的。用户无需通过身份验证即可读取此ConfigMap。事实上,客户端不能在这里使用承载令牌,因为我们还不信任这个端点 API服务器正常返回带有kubeconfig内容的ConfigMap 该ConfigMap上的额外数据项包含JWS签名。kubeadm根据令牌的令牌id部分查找正确的签名 kubeadm验证JWS,现在可以信任服务器。由于可以信任kubeconfig文件中的CA证书,因此进一步的通信更简单 为了保护群集的安全,您可以关闭对群集信息的公共访问: