sync upstream

Author: Andygol

content/uk/docs/reference/access-authn-authz/authentication.md

@@ -22,7 +22,7 @@ weight: 10
 
 У цьому відношенні _Kubernetes не має обʼєктів, які представляють звичайні облікові записи користувачів._ Звичайні користувачі не можуть бути додані до кластера через API виклик.
 
-Хоча звичайного користувача не можна додати через API виклик, будь-який користувач, який предʼявляє дійсний сертифікат, підписаний центром сертифікації (CA) кластера, вважається автентифікованим. У цій конфігурації Kubernetes визначає імʼя користувача з поля загального імені (CN) у сертифікаті (наприклад, "/CN=bob"). Після цього підсистема контролю доступу на основі ролей (RBAC) визначає, чи авторизований користувач для виконання певної операції з ресурсом. Детальніше про це можна прочитати у темі про звичайних користувачів у [запиті сертифікатів](/docs/reference/access-authn-authz/certificate-signing-requests/#normal-user).
+Хоча звичайного користувача не можна додати через API виклик, будь-який користувач, який предʼявляє дійсний сертифікат, підписаний центром сертифікації (CA) кластера, вважається автентифікованим. У цій конфігурації Kubernetes визначає імʼя користувача з поля загального імені (CN) у сертифікаті (наприклад, "/CN=bob"). Після цього підсистема контролю доступу на основі ролей (RBAC) визначає, чи авторизований користувач для виконання певної операції з ресурсом.
 
 На відміну від цього, службові облікові записи є користувачами, якими керує Kubernetes API. Вони привʼязані до певних просторів імен і створюються автоматично API сервером або вручну через API виклики. Службові облікові записи привʼязані до набору облікових даних, збережених як `Secrets`, які монтуються в Podʼи, що дозволяє процесам всередині кластера взаємодіяти з Kubernetes API.
 
@@ -1602,5 +1602,6 @@ API-сервер Kubernetes заповнює `userInfo` після застос
 
 ## {{% heading "whatsnext" %}}
 
+- Щоб дізнатися про випуск сертифікатів для користувачів, прочитайте [Випуск сертифіката для клієнта Kubernetes API за допомогою CertificateSigningRequest](/docs/tasks/tls/certificate-issue-client-csr/)
 - Прочитайте [довідник з автентифікації клієнта (v1beta1)](/docs/reference/config-api/client-authentication.v1beta1/)
 - Прочитайте [довідник з автентифікації клієнта (v1)](/docs/reference/config-api/client-authentication.v1/)

content/uk/docs/reference/access-authn-authz/certificate-signing-requests.md

@@ -113,7 +113,7 @@ _Дивіться [Топологія зовнішнього etcd](/docs/setup/p
 2. Додайте перший вузол панелі управління до балансувальника та перевірте зʼєднання:
 
    ```shell
-   nc -v <LOAD_BALANCER_IP> <PORT>
+   nc -zv -w 2 <LOAD_BALANCER_IP> <PORT>
    ```
 
    Помилка "connection refused" є очікуваною, оскільки API-сервер ще не запущено. Проте тайм-аут означає, що балансувальник не може взаємодіяти з вузлом панелі управління. Якщо виникає тайм-аут, повторно налаштуйте балансувальник

content/uk/docs/setup/production-environment/tools/kubeadm/high-availability.md

@@ -47,7 +47,7 @@ card:
 Ці [необхідні порти](/docs/reference/networking/ports-and-protocols/) повинні бути відкриті для взаємодії компонентів Kubernetes між собою. Ви можете використовувати інструменти, такі як [netcat](https://netcat.sourceforge.net), щоб перевірити, чи відкритий порт. Наприклад:
 
 ```shell
-nc 127.0.0.1 6443 -v
+nc 127.0.0.1 6443 -zv -w 2
 ```
 
 Мережевий втулок Podʼа, який ви використовуєте, також може вимагати, щоб певні порти були відкриті. Оскільки це відрізняється для кожного мережевого втулка, будь ласка, перегляньте їх документацію про те, які порти їм потрібні.

content/uk/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md

@@ -0,0 +1,171 @@
+---
+title: Випуск сертифіката для клієнта Kubernetes API за допомогою CertificateSigningRequest
+api_metadata:
+- apiVersion: "certificates.k8s.io/v1"
+  kind: "CertificateSigningRequest"
+  override_link_text: "CSR v1"
+weight: 80
+
+# Docs maintenance note
+#
+# If there is a future page /docs/tasks/tls/certificate-issue-client-manually/ then this page
+# should link there, and the new page should link back to this one.
+---
+
+<!-- overview -->
+
+Kubernetes дозволяє використовувати інфраструктуру відкритих ключів (PKI) для автентифікації у кластері в якості клієнта.
+
+Для того, щоб звичайний користувач міг автентифікуватися і викликати API, потрібно виконати кілька кроків. По-перше, цей користувач повинен мати сертифікат [X.509](https://www.itu.int/rec/T-REC-X.509), виданий органом, якому довіряє ваш кластер Kubernetes. Потім клієнт повинен предʼявити цей сертифікат API Kubernetes.
+
+Ви використовуєте запит [CertificateSigningRequest](/concepts/security/certificate-signing-requests/) як частину цього процесу, і ви або інша довірена особа маєте схвалити запит.
+
+Ви створите приватний ключ, а потім отримаєте виданий сертифікат і, нарешті, налаштуєте цей приватний ключ для клієнта.
+
+## {{% heading "prerequisites" %}}
+
+* {{< include "task-tutorial-prereqs.md" >}}
+
+* Вам знадобляться утиліти `kubectl`, `openssl` та `base64`.
+
+Ця сторінка передбачає, що ви використовуєте Kubernetes {{< glossary_tooltip term_id="rbac" text="контроль доступу на основі ролей" >}} (RBAC). Якщо ви використовуєте альтернативні або додаткові механізми безпеки для авторизації, вам також потрібно врахувати їх.
+
+<!-- steps -->
+
+## Створення приватного ключа {#create-private-key}
+
+На цьому кроці ви створюєте приватний ключ. Ви повинні тримати його в таємниці; будь-хто, хто його має, може видавати себе за користувача.
+
+```shell
+# Створіть приватний ключ
+openssl genrsa -out myuser.key 3072
+```
+
+## Створіть запит на підписання сертифіката X.509 {#create-x.509-certificatessigningrequest}
+
+{{< note >}}
+Це не те саме, що API CertificateSigningRequest з подібною назвою; файл, який ви генеруєте тут, входить до CertificateSigningRequest.
+{{< /note >}}
+
+Важливо встановити атрибути CN та O для CSR. CN — це імʼя користувача, а O — група, до якої цей користувач буде належати. Ви можете ознайомитися з [RBAC](/docs/reference/access-authn-authz/rbac/) для отримання інформації про стандартні групи.
+
+```shell
+# Змініть загальне ім’я "myuser" на фактичне ім’я користувача, яке ви хочете використовувати
+openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser"
+```
+
+## Створіть CertificateSigningRequest Kubernetes {#create-k8s-certificatessigningrequest}
+
+Закодуйте документ CSR, використовуючи цю команду:
+
+```shell
+cat myuser.csr | base64 | tr -d "\n"
+```
+
+Створіть [CertificateSigningRequest](/docs/reference/kubernetes-api/authentication-resources/certificate-signing-request-v1/) та надішліть його до кластера Kubernetes через kubectl. Нижче наведено уривок коду оболонки, який ви можете використати для генерації CertificateSigningRequest.
+
+```shell
+cat <<EOF | kubectl apply -f -
+apiVersion: certificates.k8s.io/v1
+kind: CertificateSigningRequest
+metadata:
+  name: myuser # example
+spec:
+  # Це закодований CSR. Змініть його на вміст myuser.csr у кодуванні base64
+  request: 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
+  signerName: kubernetes.io/kube-apiserver-client
+  expirationSeconds: 86400  # one day
+  usages:
+  - client auth
+EOF
+```
+
+Деякі моменти, на які слід звернути увагу:
+
+* `usages` має бути `client auth` (від імені клієнта)
+* `expirationSeconds` можна зробити довшим (наприклад, `864000` для десяти днів) або коротшим (наприклад, `3600` для однієї години). Ви не можете подати запит тривалістю менше ніж 10 хвилин.
+* `request` — це закодоване в base64 значення вмісту файлу CSR.
+
+## Схваліть CertificateSigningRequest {#approve-certificate-signing-request}
+
+Використовуйте kubectl, щоб знайти CSR, який ви створили, і вручну схвалити його.
+
+Отримайте список CSR:
+
+```shell
+kubectl get csr
+```
+
+Схваліть CSR:
+
+```shell
+kubectl certificate approve myuser
+```
+
+## Отримайте сертифікат {#get-the-certificate}
+
+Отримайте сертифікат із CSR, щоб перевірити, чи виглядає він правильно.
+
+```shell
+kubectl get csr/myuser -o yaml
+```
+
+Значення сертифікату знаходиться в Base64-кодованому форматі в розділі `.status.certificate`.
+
+Експортуйте виданий сертифікат з CertificateSigningRequest.
+
+```shell
+kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt
+```
+
+## Налаштуйте сертифікат у kubeconfig {#configure-the-certificate-into-kubeconfig}
+
+Наступним кроком буде додавання цього користувача до файлу kubeconfig.
+
+Спочатку потрібно додати нові облікові дані:
+
+```shell
+kubectl config set-credentials myuser --client-key=myuser.key --client-certificate=myuser.crt --embed-certs=true
+
+```
+
+Потім потрібно додати контекст:
+
+```shell
+kubectl config set-context myuser --cluster=kubernetes --user=myuser
+```
+
+Перевірте:
+
+```shell
+kubectl --context myuser auth whoami
+```
+
+Ви повинні побачити вивід, який підтверджує, що ви є «myuser».
+
+## Створіть Role та RoleBinding {#create-role-and-rolebinding}
+
+{{< note >}}
+Якщо ви не використовуєте Kubernetes RBAC, пропустіть цей крок і внесіть відповідні зміни до механізму авторизації який використовується у вашому кластері.
+{{< /note >}}
+
+Після створення сертифіката настав час визначити Role і RoleBinding для цього користувача для доступу до ресурсів кластера Kubernetes.
+
+Це приклад команди для створення Role для цього нового користувача:
+
+```shell
+kubectl create role developer --verb=create --verb=get --verb=list --verb=update --verb=delete --resource=pods
+```
+
+Це приклад команди для створення RoleBinding для цього нового користувача:
+
+```shell
+kubectl create rolebinding developer-binding-myuser --role=developer --user=myuser
+```
+
+## {{% heading "whatsnext" %}}
+
+* Прочитайте [Керування сертифікатами TLS у кластері](/docs/tasks/tls/managing-tls-in-a-cluster/)
+* Для отримання детальної інформації про сам X.509 зверніться до [RFC 5280](https://tools.ietf.org/html/rfc5280#section-3.1), розділ 3.1
+* Інформацію про синтаксис запитів на підписання сертифікатів PKCS#10 наведено в [RFC 2986](https://tools.ietf.org/html/rfc2986)
+* Прочитайте про [ClusterTrustBundles](/docs/reference/access-authn-authz/certificate-signing-requests/#cluster-trust-bundles)

content/uk/docs/tasks/tls/certificate-issue-client-csr.md

@@ -1,4 +1,5 @@
 Вам треба мати кластер Kubernetes, а також інструмент командного рядка kubectl має бути налаштований для роботи з вашим кластером. Рекомендується виконувати ці настанови у кластері, що має щонайменше два вузли, які не виконують роль вузлів управління. Якщо у вас немає кластера, ви можете створити його, за допомогою [minikube](https://minikube.sigs.k8s.io/docs/tutorials/multi_node/) або використовувати одну з цих пісочниць:
 
 * [Killercoda](https://killercoda.com/playgrounds/scenario/kubernetes)
-* [Play with Kubernetes](https://labs.play-with-k8s.com/)
+* [KodeKloud](https://kodekloud.com/public-playgrounds)
+* [Play with Kubernetes](https://labs.play-with-k8s.com/)

content/uk/includes/task-tutorial-prereqs.md

@@ -144,6 +144,27 @@ <h5>
     </div>
   </section>
 
+  <section class="call-to-action">
+    <div class="main-section">
+      <div class="call-to-action" id="cta-kubestronaut">
+        <div class="cta-text">
+          <h2>Програма Kubestronaut: Підвищуйте свою експертизу в Kubernetes</h2>
+          <p> Програма CNCF Kubestronaut відзначає та нагороджує виняткових лідерів спільноти, які продемонстрували глибоку
+          прихильність до оволодіння Kubernetes. Ця престижна ініціатива відзначає людей, які постійно інвестують у своє навчання
+          та досягли найвищого рівня майстерності. Щоб отримати почесне звання Kubestronaut, люди повинні успішно отримати та
+          підтримувати всі пʼять сертифікатів CNCF Kubernetes: Сертифікований адміністратор Kubernetes (CKA), Сертифікований
+          розробник застосунків Kubernetes (CKAD), Сертифікований спеціаліст з безпеки Kubernetes (CKS), Kubernetes та Cloud
+          Native Associate (KCNA) та Kubernetes та Cloud Security Associate (KCSA).</p>
+        </div>
+        <div class="cta-img-container">
+          <div class="logo-certification cta-image" id="logo-kubestronaut">
+            <img src="/images/training/kubestronaut-stacked-color.svg" />
+          </div>
+        </div>
+      </div>
+    </div>
+  </section>
+
   <div class="padded lighter-gray-bg">
     <div class="main-section two-thirds-centered">
       <center>

content/uk/training/_index.html

@@ -458,6 +458,9 @@ other = "Цій статті вже більше одного року. Стар
 [page_deprecated]
 other = "(застаріла сторінка)"
 
+[parentoptions_heading]
+other = "Успадковані батьківські параметри"
+
 [patch_release]
 other = "Патч"