k8s 클러스터 보안
거의 모든 작업을 하는 kube-apisever 를 보안하는 것이 가장 먼저임
각 key는 보통 아래의 규칙을 따른다
public key : *.crt
, *.pem
private key : *.key
, *-key.pem
kube-apiserver
etcd server
kubelet server
admin, kube-scheduler, kube-contoller-manager, kube-proxy 는 kube-apiserver의 클라이언트이다.
kube-apiserver는 이들의 서버이면서, 동시에 etcd server와 kubelet server의 클라이언트이다.
그래서 kube-apiserver는 서버 인증서를 가지면서, 동시에 etcd와 kubelet에 대한 클라이언트 인증서도 가진다.
(일반적으로 kube-apiserver의 인증서들은 /etc/kubernetes/pki/ 하위에 존재함)
k8s는 최소 1개 이상의 CA를 요구함