使用SSL加密与Kubernetes apiServer的通信

最新推荐文章于 2023-08-21 08:53:41 发布
最新推荐文章于 2023-08-21 08:53:41 发布
阅读量825 收藏 1
点赞数
分类专栏: kubernetes

生成CA、私钥、证书

创建集群的root CA

把所有私钥、证书都放到目录/k8s/rsa里; 
CA的CommonName不是必须为kube-ca,可以随意指定。

mkdir -p /k8s/rsa
cd /k8s/rsa
openssl genrsa -out ca-key.pem 2048
openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca"
  • 1
  • 2
  • 3
  • 4

创建apiServer的私钥、服务端证书

创建证书配置文件openssl.cnf,在alt_names里指定所有访问服务时会使用的目标域名和IP; 
因为SSL/TLS协议要求服务器地址需与CA签署的服务器证书里的subjectAltName信息一致。

这里配置的最后两个IP分别是clusterIP取值范围里的第一个可用值、master机器的IP。

k8s会自动创建一个service和对应的endpoint,来为集群内的容器提供apiServer服务; 
service默认使用第一个可用的clusterIP作为虚拟IP,放置于default名称空间,名称为kubernetes,端口是443;openssl.cnf里的DNS1~4就是从容器里访问这个service时会使用到的域名。

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = localhost
DNS.6 = centos-master
IP.1 = 127.0.0.1
IP.2 = 10.254.0.1
IP.3 = 192.168.137.240
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18

1、创建openssl.cnf

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
IP.1 = ${K8S_SERVICE_IP}
IP.2 = ${MASTER_IPV4}
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

使用有API被访问的Master的IP地址替换${MASTER_IPV4},使用自己规划作为kubernetes service IP端的首IP替换${K8S_SERVICE_IP}如:一般以10.100.0.0/16作为service的服务IP端,则此处以10.100.0.1替换${K8S_SERVICE_IP}

如果在高可用配置中部署多个Master节点,需要添加更多的TLS subjectAltNames (SANs)。每个证书合适的SANs配置依赖于从节点与kubectl用户是怎样与Master节点通讯的:直接通过IP地址、通过负载均衡、或者通过解析DNS名称。

DNS.5 = ${MASTER_DNS_NAME}
IP.3 = ${MASTER_IP}
IP.4 = ${MASTER_LOADBALANCER_IP}
 
 
  • 1
  • 2
  • 3

从节点将通过${MASTER_DNS_NAME}访问到Loadbalancer。



创建私钥与证书

#创建私钥#
openssl genrsa -out apiserver-key.pem 2048
#创建certificate signing request文件apiserver.csr,里面包含的apiserver的公开信息,如:公钥、名称、可访问地址#
openssl req -new -key apiserver-key.pem -out apiserver.csr -subj "/CN=kube-master" -config openssl.cnf
#生成经过CA签署的服务端证书,里面包含服务端信息、CA的公钥,以及经CA私钥加密的服务端信息的hash值#
openssl x509 -req -in apiserver.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out apiserver.pem -days 9000 -extensions v3_req -extfile openssl.cnf
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

创建访问apiServer的各个组件使用的客户端证书

controllerManager、scheduler、kubelet、proxy、kubectl都使用这里生成的管理员证书。 
客户端证书的CommonName并不需要匹配k8s里的某个account。

cd /k8s/rsa
openssl genrsa -out admin-key.pem 2048
openssl req -new -key admin-key.pem -out admin.csr -subj "/CN=kube-admin"
openssl x509 -req -in admin.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out admin.pem -days 9000
  • 1
  • 2
  • 3
  • 4

  
  
 

在k8s集群部署CA、证书

前提是本地已按照官方文档在centos上安装了k8s集群 
https://kubernetes.io/docs/getting-started-guides/centos/centos_manual_config/ 
k8s安装包无法从官方源下载时,可改用阿里云提供的源,centos的配置方式详见阿里云提供的help 
http://mirrors.aliyun.com 
如果是以容器方式运行k8s组件,按此文章进行配置 
https://coreos.com/kubernetes/docs/latest/deploy-master.html

配置apiServer

修改参数文件/etc/kubernetes/apiserver 
这里监听SSL/TLS的端口是6443;若指定小于1024的端口,有可能会导致启动apiServer失败。 
即使不配置–insecure-access、–insecure-port参数,在master机器上,还是会默认开8080端口提供未加密的HTTP服务;不过只能用localhost作为访问地址。

KUBE_API_ARGS="--bind-address=0.0.0.0 --secure-port=6443 --tls-cert-file=/k8s/rsa/apiserver.pem --tls-private-key-file=/k8s/rsa/apiserver-key.pem --client-ca-file=/k8s/rsa/ca.pem --service-account-key-file=/k8s/rsa/apiserver-key.pem"
  • 1

配置kubectl

修改kubectl命令行工具默认使用的apiServer地址、集群CA和客户端证书。

kubectl config set-cluster default-cluster --server=https://centos-master:6443 --certificate-authority=/k8s/rsa/ca.pem
kubectl config set-credentials default-admin --certificate-authority=/k8s/rsa/ca.pem --client-key=/k8s/rsa/admin-key.pem --client-certificate=/k8s/rsa/admin.pem
kubectl config set-context default-system --cluster=default-cluster --user=default-admin
kubectl config use-context default-system
  • 1
  • 2
  • 3
  • 4

准备context配置文件

context是cluster、namespace、user三个信息的集合。 
把已为kubectl配置好的context,保存到公共文件,供controllerManager、scheduler、kubelet、proxy在启动参数里引用。 
输出kubectl的当前context配置:

kubectl config view
  • 1

把输出的context配置保存到文件/etc/kubernetes/kube-admin-context.yaml,类似如下内容:

apiVersion: v1
clusters:
- cluster:
    certificate-authority: /k8s/rsa/ca.pem
    server: https://centos-master:6443
  name: default-cluster
contexts:
- context:
    cluster: default-cluster
    user: default-admin
  name: default-context
- context:
    cluster: default-cluster
    user: default-admin
  name: default-system
current-context: default-system
kind: Config
preferences: {}
users:
- name: default-admin
  user:
    client-certificate: /k8s/rsa/admin.pem
    client-key: /k8s/rsa/admin-key.pem
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

配置controllerManager、scheduler、proxy访问apiServer的地址

修改参数文件/etc/kubernetes/config

KUBE_MASTER="--master=https://centos-master:6443"
  • 1

配置controllerManager

修改参数文件/etc/kubernetes/controller-manager

KUBE_CONTROLLER_MANAGER_ARGS="--kubeconfig=/etc/kubernetes/kube-admin-context.yaml --root-ca-file=/k8s/rsa/ca.pem --service-account-private-key-file=/k8s/rsa/apiserver-key.pem"
  • 1

配置scheduler

修改参数文件/etc/kubernetes/scheduler

KUBE_SCHEDULER_ARGS="--kubeconfig=/etc/kubernetes/kube-admin-context.yaml"
  • 1

配置kubelet

修改参数文件/etc/kubernetes/kubelet 
其中–pod-infra-container-image是pod通信接口容器在私有仓库的镜像路径。

KUBELET_API_SERVER="--api-servers=https://centos-master:6443"
KUBELET_ARGS="--kubeconfig=/etc/kubernetes/kube-admin-context.yaml --pod-infra-container-image=centos-master:5000/pause-amd64:3.0"
  • 1
  • 2

配置proxy

修改参数文件/etc/kubernetes/proxy

KUBE_PROXY_ARGS="--kubeconfig=/etc/kubernetes/kube-admin-context.yaml"
  • 1

重启k8s集群

停止node

for SERVICES in kube-proxy kubelet flanneld docker; do
    systemctl stop $SERVICES
done
  • 1
  • 2
  • 3

停止master

for SERVICES in etcd kube-apiserver kube-controller-manager kube-scheduler flanneld; do
    systemctl stop $SERVICES
done
  • 1
  • 2
  • 3

重启master

for SERVICES in etcd kube-apiserver kube-controller-manager kube-scheduler flanneld; do
    systemctl restart $SERVICES
    systemctl enable $SERVICES
    systemctl status $SERVICES
done
  • 1
  • 2
  • 3
  • 4
  • 5

重启node

iptables --flush
iptables -tnat --flush

for SERVICES in kube-proxy kubelet flanneld docker; do
    systemctl restart $SERVICES
    systemctl enable $SERVICES
    systemctl status $SERVICES
done
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

验证集群启动情况

查看pod

kubectl get nodes
kubectl get deployments --all-namespaces
kubectl get ReplicationController  --all-namespaces
kubectl get DaemonSets  --all-namespaces
kubectl get ReplicaSets --all-namespaces
kubectl get pods --all-namespaces
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

查看endpoint

kubectl get services  --all-namespaces
kubectl get endpoints  --all-namespaces
  • 1
  • 2

如果pod启动异常,使用kubectl describe命令查看pod启动情况;如pod因secret失效而启动失败,则删除每个namespace下的default账户,并删除全部ReplicaSet,使deployment重新分配ReplicaSet和pod。

kubectl delete serviceaccount default -n default
kubectl delete serviceaccount default -n dev
kubectl delete serviceaccount default -n kube-system
hxpjava1
关注
专栏目录
Kubernetes — etcd 数据库应用与操作
烟云的计算
06-27 1589
收集器通常是按照应用或主题来分配收集任务单元,因此可以在 etcd 上创建一个以应用或主题命名的目录,并将这个应用或主题相关的所有机器 IP 地址以子目录的形式存储到目录上,然后设置一个 etcd 递归的 Watcher,递归式的监控应用或主题的目录下所有信息的变动。从而避免重复劳动,节省计算资源。:应用在启动的时候主动从 etcd 获取一次配置信息,同时,在 etcd 上注册一个 Watcher 并等待(完成订阅),以后每次配置有更新的时候,etcd 都会实时通知订阅者,以此达到获取最新配置信息的目的。
kcert:KCert:一个简单的让我们为Kubernetes加密的管理器
02-17
KCert:让我们加密Kubernetes的基本证书管理器 警告:此代码是实验性的。 许多流失,不完整的文档和缺少的功能。 KCert旨在成为的简单,易于运行,易于理解的替代方案: 取代Helm图表或26000行的y​​aml, KCert部署的行数少于100行的y​​aml 代替自定义资源, KCert使用现有的标准对象 代码库小巧易懂 怎么运行的 组件(部署,入口,配置等)部署到自己的名称空间 该服务提供管理Web UI和.well-know/acme-challenge HTTP Challenge端点 通过单击表中的“更新”按钮可以手动更新证书 如何使用 使用以下kubectl apply -f deploy.yml部署到群集: kubectl apply -f deploy.yml 将Web UI转发到本地计算机: kubectl -n kcert port-forwar
Kubernetes API Server 之集群安全认证
weixin_45710286的博客
11-06 551
kubernetes API Serverkubernetes 集群的统一访问入口,它的核心功能就是提供 kubernetes 各类的资源对象(例如:Pod、Deployment、RC、Service 等)的增、删、改、查及 watch 等 HTTP REST 接口,成为集群中各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。并且它还是整个集群管理的 API 入口,资源配额控制的入口,提供了完整的安全机制。
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9097
为什么80%的码农都做不了架构师?>>> ...
kubernetes】安全机制
最新发布
2302_76824193的博客
08-21 253
k8s 安全机制:认证、鉴权、准入机制
解析Kubernetes中工作节点组件和集群通信原理
Q54665642ljf的博客
08-06 304
本文会分析Node节点的两个组件(kube-proxy和kubelet)同集群如何建立通信的过程。前两部分我们会简单的科普一下SSL的过程和Kubernetes中通过RBAC进行认证的内容,因为这两部分内容属于看懂后续两部分的基础,如果对这两部分内容比较熟悉的同学可以跳过。为了增加阅读体验,我把有过多代码的放到另一个文件里面,文章中相应的部分通过链接的方式。......
二进制搭建 Kubernetes v1.20 依赖包与脚本
08-03
`kubelet.sh`脚本用于启动和管理kubelet服务,kubelet是Kubernetes在每个工作节点上的代理,负责与apiserver通信,维护容器的运行状态,并确保Pods按照定义的规格运行。 最后,`kubeconfig.sh`脚本则用于生成kube...
使用kubernetes部署ELK日志系统
07-24
3. **安全性**:使用SSL/TLS加密通信,设置访问控制,保护数据安全。 4. **扩展性**:Elasticsearch和Logstash应设计为可水平扩展,以应对日志量的增长。 5. **日志持久化**:使用PVC确保日志数据的持久化,即使Pod...
Kubernetes 集群安全-教程与笔记习题
05-22
它确保只有验证过的用户或服务才有权限与APIServer进行通信Kubernetes支持多种认证机制,包括客户端证书、密码、token认证、OpenID Connect等。其中,客户端证书是一种比较安全的认证方式,客户端证书会通过SSL/...
openssl.cnf_文件
01-18
使用openssl创建证书时,缺少 openssl.cnf文件,下载后放到显示缺少的目录中
k8s---java 操作k8s API Server
qq_40823910的博客
05-18 1963
springBoot项目操作k8s api
java SSL证书请求(需要处理器链 chain.pem和私钥privateKey.key)
月夜流心的博客
12-12 853
首先安装openSSL环境,linux或者windows都可以。
gRPC认证
qq_53267860的博客
05-30 1055
目录gRPC认证1. 生成自签证书2. 服务端应用证书3. 客户端认证4. 双向认证5. Token认证5.1 服务端添加用户名密码的校验5.2 客户端实现 gRPC认证 客户端和服务端之间调用,我们可以通过加入证书的方式,实现调用的安全性 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 T
gRPC 的 SSL/TLS 加密认证
qq_46457076的博客
02-16 1784
关于 gRPC 的 SSL/TLS 加密认证介绍!
OpenSSL:生成自签名的sha256泛域名证书
IChen.的博客
06-07 1735
环境: CentOS 6.8 x86_64 安装 openssl openssl-devel cp /etc/pki/tls/openssl.cnf openssl.cnf 修改openssl.cnf [ req ] distinguished_name = req_distinguished_name default_md = sha256 #将sha1改为sha256 req_extensions = v3_req #取消这行注释 #确保req_distinguished_name下没有
OpenSSL创建的自签名证书在chrome端无法信任
热门推荐
8O13的博客
12-17 2万+
文章目录问题描述原因概述解决方案修改待用的openssl配置文件创建证书对tomcat配置证书 问题描述 ArcGIS Enterprise环境下往往需要创建自签名证书。小编之前提供的利用OpenSSL创建自签名证书的方法在chrome上再次遇到了证书无效的错误: 原因概述 Chrome浏览器要求证书中必须包含“Subject Alternative Names”这一参数。 解决方案 修改待用的...
emqx配置ssl/tsl实现双向认证
feinifi的博客
01-21 6044
emqx是一种基于mqtt协议实现的消息框架,目前很多地方已经开始使用。简单的emqx安装配置,其实就可以作为一个broker来使用,客户端只需要通过ip、端口、用户名、密码、clientid就可以连接了,至于发送消息,直接在发送的时候指定topic即可。 简单的emqx安装配置,使用的协议是:mqtt:tcp,使用的url是tcp://ip:1883。这种方式,其实可以很容易被模拟(理论上的可能),所以有了mqtts:tls协议,一般使用ssl协议来实现。这也是本文所要阐述的问题。 ...
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4804
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
Tomcat配置SSL加密详解与步骤
本文档主要介绍了如何在Tomcat服务器上配置SSL加密通讯,确保Web应用的安全性和...通过以上步骤,你将配置好Tomcat服务器以启用SSL加密,确保敏感数据在客户端与服务器之间的通信过程中得到保护,提高Web应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值