k8s集群证书管理

已于 2024-01-06 11:12:49 修改
阅读量1.3k 收藏
点赞数
分类专栏: Cloud 文章标签: kubernetes 容器 云原生
于 2023-06-10 17:12:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chansonzhang/article/details/101164754
版权

文章目录

Certificates

  1. Creating the CA key and certificate
  2. Distributing the CA certificate to the master nodes, where kube-apiserver is running
  3. Creating a key and certificate for each kubelet; strongly recommended to have a unique one, with a unique CN, for each kubelet
  4. Signing the kubelet certificate using the CA key
  5. Distributing the kubelet key and signed certificate to the specific node on which the kubelet is running.

需要的证书
1、控制面的所有证书,见官方文档
2、kubelet的证书,通过API Server或者使用其ca.cert证书签发。

控制面的证书

首先你得有个CA的key和cert
ca.key不用重新生成
ca.cert如果快要过期了,需要重新生成
检查ca.cert的过期时间

openssl x509  -noout -text -in ./ca.cert

API Server启动参数中需要引用这个CA证书,所以CA证书需要被拷贝到所有master节点上(运行API Server的节点)
API Server的启动参数中应该包含类似下面的配置

--client-ca-file=/etc/kubernetes/pki/ca.cert

kubelet证书

新添加节点

新添加的节点需要使用TLS bootstrapping

现有节点

对于现有节点需要更新证书的情况,直接使用CA签发即可

Reference

[1] TLS bootstrapping

chansonzhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1821
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s教程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 2748
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
K8S kubeadm管理证书
Jeacean的博客
04-25 530
官方文档: k8s kubeadm管理证书 查询证书过期时间 $ kubeadm alpha certs check-expiration 如下输出 [root@master1 ~]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'k
K8S集群tls证书管理
weixin_33905756的博客
08-31 600
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
kubernetes(k8s):访问控制(认证+授权+准入控制)
weixin_43936969的博客
05-24 3700
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
K8s集群搭建ansible部署脚本
04-21
我个人给公司开发的使用ansible部署k8s的脚本,支持vagrant调用ansbile,和直接ansible执行两种方式。k8s二进制组件使用最新的1.23.5 部署以下模块内容包括: preinstall 安装前准备,主机环境初始化,二进制文件...
K8s集群所有细节部署文档
最新发布
03-17
K8s集群所有细节部署文档 内容简介: 1、组件版本和配置策略 2、系统初始化和全局变量 3、创建CA证书和密钥 4、部署kubectl命令行工具 5、部署etcd集群 6、部署flannel网络 7、部署master节点 8、部署woker节点 9、...
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
kubeadm初始化k8s集群延长证书过期时间.bash
06-01
kubeadm初始化k8s集群延长证书过期时间
k8s-1.9.1-步骤三(创建证书
wzz_ccr的博客
04-05 2646
----------------------------------------------------------------------------------------------------------------------------执行主机:192.168.1.15or16or18创建admin-csr.jsoncat >/root/kubernetes/server/bin...
Kubernetes证书认证
Kubernetes中文社区
09-20 9198
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
4.证书管理和资源类型
LQ的博客
03-31 157
4.入门篇:不能说的秘密:证书管理和资源类型 通过本章节的学习,你可以充分了解到一个https的kubernetes集群中所需的证书及其作用,以及kubernetes语境内的api资源类型,最后我还补充了几个基础的GET命令,此时你可以登录到上一章节我们使用kubeadm创建的集群,进行一些基础的查询操作了 1.证书管理 k8s于生产环境运行时,我强烈建议大家运行在https的安全环境下,其证书...
kubernetes证书生成
沈首二
11-04 1万+
kubernetes证书生成为了安全起见,建议在kubernetes中使用安全证书。在之前的文章中,而是统一在集群搭建中制造,并没有单独介绍证书的生成。本文将介绍kubernetes证书生成。一下文章将需要生成如下证书: 根证书公钥与私钥:ca.pem与ca-key.pem API Server公钥与私钥:apiserver.pem与apiserver-key.pem 集群管理员公钥与私钥:ad
k8s认证
wasd12121212的博客
10-17 918
RBAC可以设置subject:user,group和serviceaccount. user不是k8s管理的,可以通过具体的服务进行管理。对应k8s中就是secret。 serviceaccount是通过k8s管理的。就是每个pod访问api server的权限。   api启动参数分为--client的各种crt,key kubelete各种证书,tls(api srever自己用于客...
k8s的访问控制(认证+授权+准入控制)
yrx420909的博客
05-05 3123
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
Kubernetesk8s证书机制
叮当猫的喵i
09-15 3337
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
k8s证书认证
weixin_33955681的博客
06-21 4726
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。创建TLS证书和秘钥步鄹1.下载安装SSL,下载cfssl工具:https://pkg.cfssl.org/...
k8s笔记八(kubernetes中认证、授权、准入控制)
热门推荐
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
portainer镜像怎么管理k8s集群
05-17
Portainer是一个轻量级的容器管理工具,可以通过Web UI来管理Docker容器和Swarm集群,同时也支持Kubernetes集群管理。 要在Portainer中管理Kubernetes集群,需要进行以下步骤: 1. 在Portainer中创建一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值