Blog
Thoughts on engineering, design, and building great products.
Tự Tay Ký Toàn Bộ Certificate Bằng cfssl
Phần lõi của 'from scratch': dùng cfssl tạo ba CA (Kubernetes, etcd, front-proxy) rồi ký toàn bộ certificate cho từng thành phần — apiserver với SAN đầy đủ, kubelet từng worker với CN/O đặc biệt, controller-manager, scheduler, kube-proxy, client cho etcd, và cặp khóa service-account. Làm từng cái, đúng từng trường, rồi verify chuỗi tin cậy.
PKI và TLS: Vì Sao Cluster Cần Nhiều Certificate Đến Vậy
Một cluster Kubernetes cần tới cả chục certificate và ba CA riêng. Bài này giải thích mô hình PKI/TLS làm nền cho mọi kết nối trong cluster: CA ký cho ai, mTLS hai chiều hoạt động ra sao, và một điểm hay quên — trường CN và O trong certificate chính là danh tính và nhóm RBAC mà api-server tin.
TLS/SSL: Mã Hóa và Chứng Chỉ
Deep-dive vào chữ 'S' của HTTPS: TLS bắt tay mã hóa thế nào, chứng chỉ chứa gì, và chuỗi tin cậy từ chứng chỉ server tới CA gốc giúp trình duyệt tin một website ra sao. Quan sát thật bằng openssl.