kubernetes学习记录(13)——网上集群基于CA签名安全设置的两种方式对比

最新推荐文章于 2023-02-24 10:46:43 发布
最新推荐文章于 2023-02-24 10:46:43 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Kubernetes 从零学习云计算 文章标签: kubernetes ca 安全 集群
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huqigang/article/details/77704932
版权

《kubernetes学习记录(9)——集群基于CA签名的安全设置》一文中,我是照着《Kubernetes权威指南》以及一些博客做了基于CA签名的安全设置。但是这一块基本没有理解,所以在此选择《创建TLS证书和秘钥》一文的创建方式做个对比,详细研究一下这一块的细节

《Kubernetes权威指南第2版》——2.1.6 Kubernetes核心服务配置详解
这章有各个启动进程关键配置参数的详解。

《创建TLS证书和秘钥》该文是http://jimmysong.io/kubernetes-handbook/里的一节,该书是基于Kubernetes1.6做的研究。

网上的各种教程中都有作者自己的思考与间接,彼此之间都有些差异,别人的东西不一定适合自己,我觉得对比着学习更能学到东西

证书数量和组件使用的对比

下面以表格的形式做一下对比。

项目《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
使用工具opensslcfssl
生成的证书ca.key
ca.crt
server.key
server.crt
kubelet_client.key
kubelet_client.crt
cs_client.key
cs_client.crt
ca-key.pem
ca.pem
kubernetes-key.pem
kubernetes.pem
kube-proxy-key.pem
kube-proxy.pem
admin-key.pem
admin.pem
etcd使用的证书ca.pem、kubernetes-key.pem、kubernetes.pem
kube-apiserver使用的证书ca.crt、server.key、server.crtca.pem、kubernetes-key.pem、kubernetes.pem
kube-controller-manager使用的证书ca.crt、server.key、cs_client.crt、cs_client.keykube-controller、kube-scheduler 当前需要和 kube-apiserver 部署在同一台机器上且使用非安全端口通信,故不需要证书。(实际在后文中他做了配置)
kube-scheduler使用的证书ca.crt、cs_client.crt、cs_client.keykube-controller、kube-scheduler 当前需要和 kube-apiserver 部署在同一台机器上且使用非安全端口通信,故不需要证书。(实际在后文中他做了配置)
kubelet使用的证书kubelet_client.crt、kubelet_client.key、ca.crtca.pem
kube-proxy使用的证书kubelet_client.crt、kubelet_client.key、ca.crtca.pem、kube-proxy-key.pem、kube-proxy.pem
kubectlca.pem、admin-key.pem、admin.pem


可以看出,整体思路还是相似的。接下来对比各个证书的生成过程,对比它们的异同。

通过对证书生成过程的分析。可以得出以下的对应关系:

ca.key<——>ca-key.pem
ca.crt<——>ca.pem
server.key<——>kubernetes-key.pem
server.crt<——>kubernetes.pem
kubelet_client.key<——>kube-proxy-key.pem
kubelet_client.crt<——>kube-proxy.pem
cs_client.key<——>admin-key.pem
cs_client.crt<——>admin.pem

从上述对比可以看出,两篇文章建立的8个证书文件其实是可以一一对应上的。
同时修改了上述表格中的“生成的证书”那一栏的顺序,使其一一对应。

证书内容的对比

以server.crt<——>kubernetes.pem这个为例,校验证书,对比里面的内容。

# openssl x509 -in server.crt -inform pem -noout -text

以下是我的server.crt校验证书显示的部分截取内容。

    Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=192.168.121.143
        Validity
            Not Before: Aug 21 11:55:40 2017 GMT
            Not After : Apr 30 11:55:40 2031 GMT
        Subject: CN=master
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name: 
                DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, DNS:master, IP Address:10.254.0.1, IP Address:192.168.121.143

以下是《创建TLS证书和秘钥》一文中kubernetes.pem校验证书显示的部分截取内容。

    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes
        Validity
            Not Before: Apr  5 05:36:00 2017 GMT
            Not After : Apr  5 05:36:00 2018 GMT
        Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0
            X509v3 Authority Key Identifier:
                keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD
            X509v3 Subject Alternative Name:
                DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:172.20.0.112, IP Address:172.20.0.113, IP Address:172.20.0.114, IP Address:172.20.0.115, IP Address:10.254.0.1


对比 Issuer 字段的内容; Subject 字段的内容;X509v3 Subject Alternative Name 字段的内容; X509v3 Key Usage、Extended Key Usage 字段的内容。

对比发现,生成的证书结构和内容上都有相似之处,只是使用的生成软件不一样,过程不一样,导致格式上有些不一样的地方,这些差异是否会产生影响有待验证

组件配置证书的对比

这里只截取了证书配置部分的参数进行对比。

/etc/kubernetes/apiserver的安全认证设置(KUBE_API_ARGS)

《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
--client-ca-file=/etc/kubernetes/ssl/ca.crt
--tls-private-key-file=/etc/kubernetes/ssl/server.key
--tls-cert-file=/etc/kubernetes/ssl/server.crt		--tls-cert-file=/etc/kubernetes/ssl/kubernetes.pem
--tls-private-key-file=/etc/kubernetes/ssl/kubernetes-key.pem
--client-ca-file=/etc/kubernetes/ssl/ca.pem
--service-account-key-file=/etc/kubernetes/ssl/ca-key.pem
--etcd-cafile=/etc/kubernetes/ssl/ca.pem
--etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem
--etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem


其中配置了的参数如下:

--client-ca-file #CA根证书文件,如果指定,该客户端证书会被用于认证过程
--tls-cert-file #包含x509证书的文件路径,用于HTTPS认证
--tls-private-key-file #包含x509与--tls-cert-file对应的私钥文件路径
--service-account-key-file#包含PEM-encoded x509 RSA公钥和私钥的文件路径,用于验证Service Account的token,如果不指定,则使用--tls-private-key-file指定的文件
--etcd-cafile#到etcd安全连接使用的SSL CA文件
--etcd-certfile#到etcd安全连接使用的SSL 证书文件
--etcd-keyfile#到etcd安全连接使用的SSL key文件

《创建TLS证书和秘钥》多配的是--service-account-key-file --etcd-cafile --etcd-certfile --etcd-keyfile(--kubelet-https=true指定kubelet是否使用https连接)
其中后三个是etcd的证书配置,在此我的etcd是和master暂在一台宿主机上,所以暂时不用配。与《创建TLS证书和秘钥》不配kube-controller、kube-scheduler 的原因类似(kube-controller、kube-scheduler 当前需要和 kube-apiserver 部署在同一台机器上且使用非安全端口通信,故不需要证书)。

--service-account-key-file
我没指定,使用–tls-private-key-file指定的文件,为server.key(kubernetes-key.pem)。
《创建TLS证书和秘钥》指定使用的是ca-key.pem。

kube-controller-manager、kube-scheduler、etcd

《创建TLS证书和秘钥》认为kube-controller、kube-scheduler 当前需要和 kube-apiserver 部署在同一台机器上且使用非安全端口通信,故不需要证书(实际在后文中他做了配置)。他是配了一个etcd的集群,所以etcd做了安全认证。

这里,我认为,之后的生成环境为了保证高可用性,etcd和kube-apiserver都应该配成集群的形式,所以kube-controller-manager、kube-scheduler、etcd都应该配置。

/etc/kubernetes/controller-manager

《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
--service-account-private-key-file=/etc/kubernetes/ssl/server.key
--root-ca-file=/etc/kubernetes/ssl/ca.crt
--kubeconfig=/etc/kubernetes/kubeconfig		--cluster-signing-cert-file=/etc/kubernetes/ssl/ca.pem
--cluster-signing-key-file=/etc/kubernetes/ssl/ca-key.pem
--service-account-private-key-file=/etc/kubernetes/ssl/ca-key.pem
--root-ca-file=/etc/kubernetes/ssl/ca.pem
--leader-elect=true


在我的--kubeconfig=/etc/kubernetes/kubeconfig配置了 client-certificate: /etc/kubernetes/ssl/cs_client.crt、client-key: /etc/kubernetes/ssl/cs_client.key、certificate-authority: /etc/kubernetes/ssl/ca.crt。

所以综上配置了的参数如下:

--leader-elect=true #设置为true表示进行leader选举,用于多个master组件的高可用部署
--service-account-private-key-file#用于给Service Account token签名的PEM-encoded RSA私钥文件路径
--root-ca-file#根CA证书文件路径,将被用于Service Account的token secret中。
--cluster-signing-cert-file与--cluster-signing-key-file的参数意义暂时不明。
--kubeconfig #kubeconfig配置文件路径,在配置文件中包括Master的地址信息及必要认证信息

/etc/kubernetes/scheduler

《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
--address=127.0.0.1
--kubeconfig=/etc/kubernetes/kubeconfig		--leader-elect=true --address=127.0.0.1


--address 值必须为 127.0.0.1,因为当前 kube-apiserver 期望 scheduler 和 controller-manager 在同一台机器(当kube-apiserver做高可用部署了,这里的设置有待验证)

--leader-elect=true #设置为true表示进行leader选举,用于多个master组件的高可用部署
--kubeconfig #kubeconfig配置文件路径,在配置文件中包括Master的地址信息及必要认证信息

/etc/kubernetes/kubelet

《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
--kubeconfig=/etc/kubernetes/kubeconfig--kubeconfig=/etc/kubernetes/kubelet.kubeconfig
--cert-dir=/etc/kubernetes/ssl


--cert-dir# TLS证书所在目录,默认为/var/run/kubernetes

/etc/kubernetes/proxy

《kubernetes学习记录(9)——集群基于CA签名的安全设置》《创建TLS证书和秘钥》
--kubeconfig=/etc/kubernetes/kubeconfig--kubeconfig=/etc/kubernetes/kubelet.kubeconfig

总结

通过对比发现,两种方式做安全认证的思路差不多,有些细节方面需要结合一下。这些内容后续会进一步的研究。

胡了了
关注
专栏目录
运维实战 容器部分 Kubernetes存储
黑羽冰音的博客
05-17 865
ConfigMap简单使用+Secret简单使用+Volume入门知识+PV持久化存储+StatefulSet控制器
【云原生Kubernetes】二进制搭建Kubernetes集群(上)——部署etcd集群和单master
在熙丶的博客
07-18 714
文章目录前言单master集群架构图一、实验环境二、部署etcd集群2.1 操作系统初始化配置2.2 部署 etcd 集群(分布式键值对数据库)1)在 etcd01 节点上操作2)在 etcd02 和 etcd03 节点上操作在 etcd02 节点上操作(42主机):在 etcd03 节点上操作(43主机):检查etcd群集状态:三、部署 Master 组件总结etcd数据库:etcd安装步骤:master组件安装步骤:1.先安装apiserver2.再启动controller-manager 和sched
Kubernetes学习笔记七:ConfigMap和Secret
liuffei的专栏
02-20 700
ConfigMap和Secret实战
Kubernetes之Pod镜像拉取策略配置
花&败
04-15 4229
一、默认的镜像拉取策略 1.1 当镜像指定的标签是latest时,默认策略是每次都下载更新 编辑pod-imagepullpolicy.yaml文件,内容如下: apiVersion: v1 kind: Namespace metadata: name: dev --- apiVersion: v1 kind: Pod metadata: name: pod-image-pull-policy namespace: dev labels: user: redrose21.
kubectl describe pod 里边没有看到events问题解决【详细步骤】
marlinlm的博客
12-25 1万+
解决kubectl describe pod 里边没有看到events问题。
企业运维之 kubernetes(k8s) 的存储
z17609273238的博客
09-19 1148
Configmap用于保存配置数据,以键值对形式存储;ConfigMap资源提供了向Pod注入配置数据的方法,旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性;典型的使用场景有:填充环境变量的值、设置容器内的命令行参数、填充卷的配置文件1.创建ConfigMap的方式有4种:使用字面值创建、使用文件创建、使用目录创建、编写configmap的yaml文件创建 2.如何使用configmap: 示例:Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和ssh key;敏感信息放
kubernetes学习记录(5)——服务发现机制与Cluster DNS的安装(无CA认证版)
个人学习记录
08-02 1万+
服务发现机制Kubernetes提供了两种发现Service的方法:1.环境变量当Pod运行的时候,Kubernetes会将之前存在的Service的信息通过环境变量写到Pod。这种方法要求Pod必须要在Service之后启动。在Service之前启动的Pod就不会有该Service的环境变量。采用DNS的方式就没有这个限制。2.DNS当有新的Service创建时,就会自动生成一条DNS记录。使用
Kubernetes节点服务搭建————二进制部署|单master节点配置(一)(etcd和flannel)
weixin_55609821的博客
08-13 681
文章目录常见的K8s按照部署方式Kubernetes二进制部署部署etcd集群master01上操作部署在node节点上修改配置部署Docker引擎flannel网络配置常见的通信方式flannel的工作流程flannel的搭建部署总结 常见的K8s按照部署方式 Mini kube Minikube是一个工具,可以在本地快速运行一个单节点微型K8S,仅用于学习、预览K8S的一些特性使用 部署地址: https://kubernetes.io/decs/setup/minikube Kubeadmin
Kubernetes安全机制
weixin_45724795的博客
05-30 1509
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
Kubernetes环境搭建(手动K8s集群安装配置、服务部署和管理使用详细步骤,入门K8s容器云平台架构)
pig2guang的博客
08-07 1万+
Kubernetes集群搭建详细过程前言搭建步骤一、各节点基础配置二、制作CA证书三、配置etcd四、在master节点上配置Kubernetes API服务五、在master节点上部署Controller Manager服务、Kubernetes Scheduler六、在master节点上部署kubectl命令行工具七、在Node节点上部署kubelet八、在Node节点上部署kube-prox...
k8s使用外部ca证书
最新发布
qyq88888的专栏
02-24 1686
k8s 使用 ca证书参考
kubernetes 1.16 二进制集群高可用安装实操踩坑篇
sfdst的博客
04-28 7046
更多操作文章 https://devopstack.cn 1 系统设置 1.1 主机系统环境说明 [root@k8s-master01 ~]# cat /etc/redhat-release CentOS Linux release 7.7.1908 (Core) [root@k8s-master01 ~]# uname -r 3.10.0-693.el7.x86_64 1.2 主机名设...
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9320
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置Kubernetes 的组件有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1493
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
k8skubelet接口的认证和授权
weixin_47729423的博客
08-11 1495
访问kubelet接口的认证和授权
kube-controller-manager最佳配置
热门推荐
WaltonWang's Blog
05-23 1万+
kube-controller-manager最佳配置梳理
kubernetes二进制部署k8s-master集群controller-manager服务unhealthy问题
li123128的博客
12-29 7330
  一.问题现象      我们使用二进制部署k8s的高可用集群时,在部署多master时,kube-controller-manager服务提示Unhealthy      [root@ceph-01 system]# kubectl get cs      NAME                 STATUS      MESSAGE                             ...
Kubernetes集群CA签名双向数字证书图示
runzhliu大数据/容器日记
05-21 631
Kubernetes 提供了基于 CA 签名的双向数字证书的认证方式,一般对于一个安全性要求比较高的集群,一般会选择双向数字证书的认证方式,而不采用 HTTP Base 或 Token 的认证方式的,所以对于搭建集群安全设置,这种认证方式是需要掌握的。 api-server 作为 Master 节点的进程,像 Kubernetes 的其他组件都需要与之通信,所以这些证书的前提都是先在 Master 为 api-server 生成一个由 CA 证书签名的数字证书 server.crt,留意图一的过程。ca.
Kubernetes安装之证书验证
Kubernetes中文社区
05-08 5587
前言 昨晚(Apr 9,2017)金山软件的opsnull发布了一个开源项目和我一步步部署kubernetes集群,下文是结合我之前部署kubernetes的过程打造的kubernetes环境和opsnull的文章创建 kubernetes 各组件 TLS 加密通信的证书和秘钥的实践。之前安装过程一直使用的是非加密方式,一直到后来使用Fluentd和ElasticSearch收集Kub
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值