Certificate API

• 마스터 유저는 요청이 온 유저에게 CA를 부여해주고, 해당 유저는 그 CA를 사용하여 클러스터에 접근할 수 있게 된다.

• 이렇게 부여받은 Certificate는 만료 시간이 존재한다.

• 이러한 Certificate를 담당하는 CA서버라는 것이 있다.

• CA는 키와 인증서의 페어로 이루어지는데 이것을 이용하여 다른 CA에 인증을 부여할 수 있다.

• 이 파일은 특히 보안에 중요하므로 보호되어진 서버에 존재하며 이 서버가 CA 서버이다.

• CA 서버는 마스터 노드에 위치한다.

유저의 요청으로 들어온 Certificate가 마스터노드에 전달되기 까지의 과정

1. 마스터노드는 요청받은 리퀘스트를 CertificateSigningRequest Object로 생성한다.

2. 리퀘스트를 검토한다.

3. 리퀘스트를 승인한다.

4. 유저에게 공유해준다.

그러면 위 모든 과정은 누가 담당할까?

• k8s 마스터노드에는 kube-apiserver를 비롯한 여러 오브젝트들이 있지만, 그 중에서 Controller Manager가 이러한 Certificate관련 Operation을 담당한다.