[CKA] 40. TLS in Kubernetes

Date

2025/01/13

Certificates

쿠버네티스 클러스터에서 노드 간에 통신과 구성 요소간의 통신, 모든 통신은 보안이 필요하고 암호화되어야 한다.

따라서 두 가지 주요 요구 사항은 서버가 서버 인증서를 사용하고, 클라이언트가 클라이언트 인증서를 사용한 서로의 신원 확인이다.

•

Server Certificates for Servers

•

Client Certificates for Clients

Server Certificates for Servers

Kube-API Server

API Server는 다른 구성 요소와 외부 사용자가 클러스터를 관리하는 데 사용하는 HTTPS 서비스를 제공한다. 따라서 이는 서버이며, 클라이언트와의 모든 통신을 보안하기 위한 인증서가 필요하다.

ETCD Server

etcd 서버는 클러스터에 대한 모든 정보를 저장한다. 따라서 자체적으로 인증서와 키 페어가 필요하다.

Kubelet Server

kublet은 kube-apiserver가 워커 노드와 상호작용하기 위해 통신하는 HTTPS API Endpoint를 노출한다. 따라서 인증서와 키 페어가 필요하다.

	Certification(Public Key)	Private Key
kube-apiserver	apiserver.crt	apiserver.key
etcd server	etcdserver.crt	etcdserver.key
kublet	kubelet.crt	kubelet.key

Client Certificates for Clients

To Kube-API Server

kube-apiserver에 액세스하는 구성 요소들은 kube-scheduler, kube-controller-manager, kube-proxy이다. 추가로 kubectl REST API를 통해 액세스하는 관리자, 즉 우리가 있다. 따라서 kube-apiserver에 인증하기 위한 각 인증서와 키 페어가 필요하다

	Certification(Public Key)	Private Key
Admin	admin.crt	admin.key
kube-scheduler	scheduler.crt	scheduler.key
kube-controller-manager	controller-manager.crt	controller-manager.key
kube-proxy	kube-proxy.crt	kube-proxy.key

To ETCD Server

ETCD 서버와 통신하는 유일한 서버는 kube-apiserver이다. 따라서 kube-apiserver는 etcd server의 클라이언트이다. etcd에 인증하기 위해 kube-apiserver가 가지고 있던 인증서, 키를 사용해도 된다. etcd의 인증을 위한 클라이언트 인증서를 따로 생성해 사용하기도 한다.

	Certification(Public Key)	Private Key
kube-apiserver	apiserver.crt	apiserver.key
	apiserver-etcd-client.crt	apiserver-etcd-client.key

To Kubelet Server

개별 노드에 있는 kubelet 서버와 통신하여 워커 노드를 모니터링하는 것은 kube-apiserver이다. etcd와 마찬가지로 kube-apiserver는 원본 인증서를 사용해도 되고, 새 인증서를 생성할 수 있다.

	Certification(Public Key)	Private Key
kube-apiserver	apiserver.crt	apiserver.key
	kubelet-client.crt	kubelet-client.key

Certificate Authority

모든 인증서에 서명하기 위해 CA가 필요하다. 쿠버네티스는 클러스터에 대해 최소 하나의 인증 기관이 필요하다.

CA 또한 인증서에 대한 키 페어를 가진다.

	Certification(Public Key)	Private Key
certificate authority	ca.crt	ca.key