Сегодня обратим внимание на один тонкий момент по работе с
Суть исправления в том, что теперь
etcd с помощью kubeadm. Сразу отметим, что такое поведение исправлено с версии 1.16.kubeadm делал общий CA для API сервера и etcd. А авторизации у etcd, как вы наверняка уже знаете нет, и получаем, что любой клиент с валидным сертом, считай любой юзер/атакующий даже с минимальными правами, мог ходить в etcd. К чему это может привести мы уже обсуждали ранее.Суть исправления в том, что теперь
kubeadm для API сервера и etcd генерирует разные CA. Но если вы это все делаете руками или самописными скриптами, то держите это в голове, не стреляйте себе в ногу. Подробнее можно почитать и про флаг --peer-trusted-ca-file для etcd