On-Prem Control Plane will be created. Would you like to use existing CA? [1] I'll provide CA certificate and key [2] Generate CA certificate and key Please enter your numeric choice [2]: 2 Enter the path

daemonset [1] • kms-plugins deployed as deployment • Interfaces • https + connection reuse • certificate: similar to apiserver ó etcd (X.509) • Version-based key synchronization • Adaption • apiserver https ó apiserver • X.509 or OIDC Token Secure Kubectl Workflow Secure Kubectl (cont.) • Global CA • One kubeconfig for multiple clusters One binary: TEE Transparency • Motivation • Leverage the

端点。默认情况下，apiserver不验证kubelet的证书，这使得连接可能会受到中间⼈的 攻击，并且在不可信/公共⽹络上运⾏是不安全的。 要验证此连接，请使⽤ --kubelet-certificate-authority 标志，为apiserver提供⼀个根证书包，⽤于验证kubelet的证 书。 如果不能这样做，如果需要，请在apiiserver和kubelet之间使⽤ SSH tunneling nodes = ，向您所选的Node添加Label。例如，如果我的Node名称是 kubernetes-foo-node- 1.ca-robinson.internal ，⽽我想要的标签是 disktype=ssd ，那么可使⽤ kubectl label nodes kubernetes-foo-node- 1.c.a-robinson

default-node-token token: abcdef.0123456789abcdef �l: 24h0m0s usages: - signing - authen�ca�on kind: InitConfigura�on localAPIEndpoint: adver�seAddress: 10.99.1.51 bindPort: 6443 nodeRegistra�on: containerd ★如果不想配置信任私有镜像仓库，也可将服务器证书添加到操作系统的ca证 书库里 # cat ca.com.crt >> /etc/pki/tls/certs/ca-bundle.crt #将ca证书添加到centos系统证书信任列表中，链接到： /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem ②安装k8s二进制组件 #使用ali default-node-token token: abcdef.0123456789abcdef �l: 24h0m0s usages: - signing - authen�ca�on kind: InitConfigura�on localAPIEndpoint: adver�seAddress: 10.99.1.51 bindPort: 6443 nodeRegistra�on:

33 架构 – 共享存储 SACC2017 • Peer Pod：包括Fabric peer，couchDB（可选）， 代 表每个组织的peer节点 • CA Server Pod： Fabric CA Server • CLI Pod：（可选）提供命令行工具的环境，方便操作本 组织的节点 • Orderer Pod：运行Orderer节点 • Kafka Pod：运行kafka节点 Fabric组件映射成Pod SACC2017 用namespace分隔各个组织的Pod Container Peer0 CouchDB Pod PVC service CA Pod PVC service … … Namespace: org1 PeerN CouchDB Pod PVC service CLI Pod • 在K8s集群外能访问到Fabric中的各个服务 • CA、peer和Orderer的service类型定义为NodePort， • 端口映射规则如下(N和M的范围分别为N>=1,M>=0): – 组织orgN端口范围：30000+(N-1)*100 ~ 30000+(N)*100-1 – CA服务的映射关系：ca.orgN:7054 -> worker:30000+(N-1)*100

安全機制的原理 (1) HTTPS 通訊雙方的伺服器端向 CA 機構申請憑證，CA 機構是可信任的協力廠 商機構，它可以是一個公認的權威企業，也可以是企業本身。企業內部系統一 般都用企業本身的認證系統。CA 機構下發根憑證、服務端憑證及私密金鑰給 申請者。 (2) HTTPS 通訊雙方的客戶器端向 CA 機構申請憑證，CA 機構下發根憑證、用戶 端憑證及私密金鑰給申請者。 (3) 伺服器端。 伺服器端接收這 個金鑰後，雙方通訊的所有內容都透過隨機金鑰加密。 通訊（隨機私鑰） 身分認證（憑證） 客戶端 伺服器端 身分認證（憑證） CA 機構 申請憑證 申請憑證 發放憑證 發放憑證 圖 2.12 CA 認證流程 2-56 Kubernetes 核心原理 2 (4) 添加一個“volume＂給 Pod，在該“volume＂中設定一個能存取 API Server

Manager AWS WAF AWS IAM Amazon GuardDuty Amazon Macie AWS Security Hub AWS CloudHSM AWS Certificate Manager AWS CloudTrail host container dependencies code config userdata © 2019, Amazon

kubeadmin token create --ttl 0 kubeadm token list openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //' 上执行加入到 k8s cluster kubeadm join k8s-master:6443 --token xvxx9v.ugbbvrdncqv061hk \ --discovery-token-ca-cert-hash sha256:c6538b73d36284378aaf0bf312bcd851f30d621d97465bdd5bace528e23e5b2b Step3: k8s master

emphasize that, “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps ca- pability we needed. It allows us to do up- dates with different deployment strategies and operate

tar.gzip" , "digest": "sha256:eb05f3dbdb543cc610527248690575bacbbcebabe6ecf665b189cf18b541e3ca" , "size": 7695857 }, { "mediaType": "application/vnd.docker.image.rootfs.diff