回答編集履歴
1
kubernetesにおけるサーバ証明書管理方法について追記
answer
CHANGED
|
@@ -1,3 +1,8 @@
|
|
|
1
1
|
やはり、secretとして保存するのが良さそうです。
|
|
2
2
|
api serverに接続する際に使う証明書は、master nodeで保存される場所が決まっているのですが、api server向けでない証明書は、自分で保存場所を決め、有効期限の管理をする必要がありそうです。
|
|
3
|
-
caの証明書は、api serverでサーバ証明書の妥当性を突き止めるために、service accountがマウントしてくれます。
|
|
3
|
+
caの証明書は、api serverでサーバ証明書の妥当性を突き止めるために、service accountがマウントしてくれます。
|
|
4
|
+
|
|
5
|
+
追記4/20
|
|
6
|
+
kubernetesでは自前のcaで署名できるという記載がdocumentにありますが、実際のサーバ証明書として確立されている方法は、Let's encryptをCAとして、cert-managerというaddonを入れて管理するようです。
|
|
7
|
+
Let's encryptは証明書の更新について自動化させるACME プロトコルなるRFCが定義されていて、環境ごとの証明書も発行してくれます。主要なブラウザにも対応しているため、フロントに立てることもできます。(ドメインの所有を証明するだけですが)
|
|
8
|
+
secretへの投入はcert-managerがやってくれるようです。
|