問題タブ [kubernetes-security]

以前は、私が使用した名前空間間のアクセスを制限するために:

バージョン 1.6.1 では動作しません。現在提案されているバージョン:

ポッド用に個別のポリシーを作成する必要があるため、現在提案されているバージョンは満足していません。

今、こんなことありませんか？

Kubernetes でのシークレットの使用に関するほとんどの例では、同様の例を見つけることができます。

type: Opaque上記の定義におけるの目的は何ですか? 他にどのようなタイプ (およびどのユースケース) を指定できますか?

サービス アカウントを使用して ssl 証明書をマウントし、実行中のジョブ内から aws クラスターにアクセスしたことのある人はいますか? どうやってこれを行うのですか？ジョブを作成しました。これは、Pod がエラー状態になる原因となっている失敗したコンテナーの出力からのものです。

「systemctl start kubelet」コマンドを実行すると、「エラー: kubelet の実行に失敗しました: 証明書署名要求を作成できません: サーバーは、クライアントに資格情報を提供するように要求しました (post certificatesigningrequests.certificates.k8s.io)」という結果が表示されます。

設定ファイルは以下の通りです：</p>

--experimental-bootstrap-kubeconfig=/etc/kubernetes/bootstrap.kubeconfig --kubeconfig=/etc/kubernetes/kubelet.kubeconfig --require-kubeconfig --cert-dir=/etc/kubernetes/ssl --cluster-domain =cluster.local. --hairpin-mode promiscuous-bridge --serialize-image-pulls=false"

上記の行にコメントすれば問題ありませんが、SSL 認証を使用したいのですが、どうすればよいですか?

したがって、REST API を介してリストを作成しようとしたときに ServiceAccount へのアクセスが拒否されないようにするために、ServiceAccount yaml に何を入力する必要があるかを正確に知っている人はいますか? curl https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_PORT_443_TCP_PORT/api/v1/ namespaces/default/persistentvolumeclaims -X GET -k -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" User "system:serviceaccount:default:my-service-service-account " ネームスペース "default" にpersistentvolumeclaims をリストすることはできません。

私の RBAC serviceAccount は、YAML で次のように設定されています。

Linuxサーバーに2ノードのkubernetesクラスターがあり、kubernetes apiを使用して、kubeproxyを介してhttp apiを使用してそれらに関する統計を取得します。ただし、https の使用方法に関する適切なドキュメントは見つかりませんでした。私は環境の設定に慣れていないので、高レベルのドキュメントの多くが私を圧倒しています。