Kubernetes 证书配置

已于 2022-04-07 20:08:40 修改
阅读量1k 收藏
点赞数
分类专栏: Kubernetes 规划与部署 文章标签: kubernetes
于 2022-03-29 09:38:49 首次发布
原文链接:c.com
版权

Kubernetes 证书配置大全

证书是网络通信的安全的要素,是现代网络通信的基本配置。各种远程调用的安全都离不开非对称加密提供的保障。

下载证书工具

cfssl 是 CloudFlare 开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具(cfssl, cfssljson)用于签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。与 OpenSSL 相比,cfssl 使用起来更简单。

Github 地址: https://github.com/cloudflare...
官网地址: https://pkg.cfssl.org/

如果有golang环境,用go安装很简单

$ go get -u github.com/cloudflare/cfssl/cmd/cfssl
$ go get -u github.com/cloudflare/cfssl/cmd/cfssljson

CA 可以用来签发证书。比如用于k8s的用户及组件的认证,CA 需要一个CA证书及私钥,私钥可以用于签发证书。

cfssl来自cloudflare。可以生成CA,签发证书

使用cfssl需要两个文件:

  • 创建自己的内部服务使用的CA认证中心

  • 运行认证中心需要一个CA证书和相应的私钥。后者是极其敏感的数据。任何知道私钥的人都可以充当CA颁发证书。因此,私钥的保护至关重要

ca-config.json    CA的配置文件

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": ["signing", "key encipherment", "server auth", "client auth"],
        "expiry": "8760h"
      }
    }
  }
}
EOF
  • profiles:是证书的类型,本例中该证书用于签名,且是双向对等证书(server auth, client auth)
  • ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
  • signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;(:表示可以签发证书)
  • server auth:服务端证书;表示client可以用该 CA 对server提供的证书进行验证;server 由服务器使用,并由客户端验证服务器身份
  • client auth:客户端证书;表示server可以用该CA对client提供的证书进行验证;client用于通过服务器验证客户端。
  • peer 对等证书;就是server auth、client auth都有的。成员之间共用,供它们彼此之间通信使用

第二个文件是证书的签名请求文件(certificate signing request) ca-csr.json 

cat > ca-csr.json <<EOF
{
  "CN": "Kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "China",
      "O": "Kubernetes",
      "OU": "CA",
      "ST": "Zhejiang"
    }
  ]
}
EOF
#生成运行CA所必需的文件ca-key.pem(私钥)和ca.pem(证书),还会生成ca.csr(证书签名请求),用于交叉签名或重新签名。
#请保持ca-key.pem文件的安全。此密钥允许在CA中创建任何类型的证书。*.csr 文件在整个过程中不会使用

CN 是请求用户的用户名  O:是请求用户的组名

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

上述命令会生成一个证书 ca.pem ,一个私钥 ca-key.pem,以及ca.csr (证书签名请求). 

openssl x509 -in ca.pem -text -noout

cfssljson 实用程序

大部分 cfssl 的输出为 JSON 格式。cfssljson 可以将输出拆分出来为独立的key,certificate,CSR 和 bundle文件。该工具需要指定参数,-f 指定输入文件,后接一个参数,指定生成的文件的基本名称。如果输入文件名是 -(默认值),则 cfssljson 从标准输入读取。它以下列方式将 JSON 文件中的键映射到文件名:

  • 如果指定了cert或certificate, 将生成basename.pem。
  • 如果指定了key 或private_key,则将生成basename-key.pem。
  • 如果指定了csr 或certificate_request,则将生成basename.csr。
  • 如果 指定了bundle, 则将生成basename-bundle.pem。
  • 如果指定了ocspResponse, 则将生成basename-response.der。
    您可以传递-stdout输出编码内容到标准输出,而不是保存到文件。

验证证书有效期

cfssl certinfo -cert /etc/kubernetes/ssl/ca.pem |grep not_after
cfssl certinfo -cert  /etc/kubernetes/ssl/admin.pem |grep not_after
cfssl certinfo -cert /etc/kubernetes/ssl/kubernetes.pem |grep not_after
cfssl certinfo -cert /etc/kubernetes/ssl/kube-proxy.pem  |grep not_after

生成新证书

证书分四类

  • ca.pem - 私有CA根证书
  • kubernetes.pem - 与 node 通信的,及APIServer的证书
  • kube-proxy.pem - k8s 与容器通信的
  • admin.pem - kubectl 管理用

生成证书请求

在生成证书过程中需要有四类文件

  • *.csr - 证书请求文件,base64格式,有-----BEGIN CERTIFICATE REQUEST-----标识
  • *csr.json - 证书请求文件,是上面格式的再封装,便于传给cfssl,json格式,大括号开始
  • *-key.pem - 私匙文件,base64格式,有-----BEGIN RSA PRIVATE KEY-----标识
  • *.pem - 证书文件,base64格式,可以用cfssl certinfo -cert 文件名查看有效期,有-----BEGIN CERTIFICATE-----标识

以上四种文件,前两类是中间产物,过后可以不保留,后两个需要配置到系统中 (通常是主从结点的/etc/kubernetes/ssl目录下)。

中间文件和生成的文件最好放在一起

cat > ca-csr.json << 'HERE'
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
HERE

部分字段说明:
“CN”:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
“O”:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);

其他几类证书请求类似

用证书请求生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

配置证书,使其生效

需要把生成的证书复制到全部 master和 node 结点。

scp *.pem yourname@yournode:/etc/kubernetes/ssl/

 在 master 结点上生成~/.kube/config便于kubectl日常交互使用

KUBE_APISERVER="https://192.168.122.100:6443"  #这里换成你的 master 结点 IP
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER}
kubectl config set-credentials admin \
--client-certificate=/etc/kubernetes/ssl/admin.pem \
--embed-certs=true \
--client-key=/etc/kubernetes/ssl/admin-key.pem
kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=admin
kubectl config use-context kubernetes
ls ~/.kube/config

结点间通信用的证书配置

cd /etc/kubernetes
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig
kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-credentials kube-proxy \
--client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
--client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper \
--user=kubelet-bootstrap

bootstrap方式给节点颁发证书

在配置好kubelet-bootstrap.kubeconfig后,重启结点,结点会向master申请证书。

master结点上运行

kubectl get certificatesigningrequests

会发现以下类似的输出

NAME                 AGE       REQUESTOR           CONDITION
node-csr-dAxCUJNZ4   22m       kubelet-bootstrap   Pending

通过以下命令,授权颁发给节点证书

kubectl certificate approve node-csr-dAxCUJNZ4

通过后正常后会输出

certificatesigningrequest "node-csr-dAxCUJNZ4" approved
富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes---证书配置
weixin_51431591的博客
04-16 461
Kubernetes---证书配置一、ca.pem & ca-key.pem & ca.csr二、token.csv三、bootstrap.kubeconfig四、kubectl五、kubelet六、kube-apiserver七、kube-controller-manager八、kube-scheduler && kube-proxy 一、ca.pem & ca-key.pem & ca.csr 建立完整TLS加密通信,需要有一个CA认证机构,会向客户端下发
kubernetes学习
最新发布
01-22
Kubernetes学习是指学习Kubernetes的安全配置资源Secret,ConfigMap和downwardAPI的概念和使用方法。Secret是Kubernetes集群中的一种配置管理资源对象,主要用于存储密码、OAuth令牌和SSH密钥等敏感信息。ConfigMap...
kubernetes1.20.6高可用部署完整资源包
09-18
原文:https://blog.csdn.net/m0_37814112/article/details/120322778 说明:kubernetes1.20.6高可用部署完整资源包 calico.yaml #calico网络插件yaml文件 cert-rsync-master.sh #证书分发脚本 docker #docker自动化部署工具 init_env.sh #初始化安装脚本 ipvsadm images #k8s相关镜像 keepalived #keepalived自动化部署工具 kernel kubeadm-config.yaml #kubernetes配置文件 kubeadm-tools realserver.sh ssh_key.sh #ssh多机互信脚本 update_kernel.sh #内核升级脚本
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理 cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些智慧。 文献资料 cert-manager的文档可以在找到。 请确保选择正确版本的文档以在页面右上方查看。 有关文档的问题和PR应在提交。 有关向Ingress资源自动颁发TLS证书(又名替代品)的常见用例,请参阅。 有关,请参阅中的安装。 故障排除 如果您在使用cert-manager时遇到任何问题,我们可以在许多地方尝试获得帮助。 首先,我们建议您查阅文档的。 提出问题最快的方法是先在Slack频道(#cert-manager)上发布。 这个频道中有很多社区成员,您通常可以立即获得问题的答案! 您也可以尝试。 正确搜索现有问题将有助于减少重复的次数,并帮助您更快地找到所需的答案。 在打开问题之前,还请确保通读的相关页面。 您也可以使用页面左上方的搜索框搜索文档。 如果您认为自己已遇到错误,并且找不到与自己的问题相似的现有问题,则可以。 请
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
执行证书后,可以配置文件一键生成 Kubernetes证书与etcd 证书,可以免去手动生成,资源包括配置文件,与Linux可执行文件
blog:nicktrave.rs的Web服务器代码和Kubernetes配置
04-19
尼克旅行 我的网站,位于。 集群设置 证明书 首先,确保您拥有 。 为该域创建一个Cloudflare原始证书,并从中创建一个TLS密钥。 $ kubectl create secret tls envoy \ --key=/dev/shm/key.pem \ --cert=/dev/shm/cert.pem 发展 使用以下命令在本地运行站点: $ make run-docker 打开位于的页面。 分期(GCP) 当将更改推送到staging分支时,该站点将自动部署到登台。 可以使用以下命令手动启动部署: 查看操作。 GCP_KEY_FILE=/path/to/service/account/key.json $ ./deploy/deploy.sh staging staging 生产量(GCP) 当更改落在主分支上时,该站点将自动部署到生产中。 查看操作。
Kubernetes中自动配置和管理TLS证书-Golang开发
05-26
cert-manager cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试对cert-manager进行认证cert-manager是Kubernetes的附加组件,可自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并在到期前尝试在适当的时间续订证书。 它大致基于kube-lego的工作,并从其他类似项目(例如kube-cert-manager)中借鉴了一些智慧。 当前状态由于该项目是1.0之前的版本,因此我们目前不提供任何有力的保证
k8s实战之kubectl
04-08
本课程将详细介绍k8s所有命令,以及命令的go源码分析,学习知其然,知其所以然
Kubernetes(k8s) kubectl certificate常用命令
m0_60105488的博客
12-19 164
kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件。可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。本文主要介绍Kubernetes(K8s)中kubectl certificate常用命令。
启用已签名的 kubelet 服务证书
Vic的博客
10-28 556
只有完成彻底的检查,才有可能避免有恶意的、能够访问 kubelet 客户端证书的第三方 为任何 IP 或域名请求服务证书。如果你在寻找一种能够自动批准这些 CSR 的解决方案,建议你与你的云提供商 联系,询问他们是否有 CSR 签名组件,用来以带外(out-of-band)的方式检查 节点的标识符。这意味着证书快要过期时,会生成一组针对服务证书的新的 CSR,而 这些 CSR 也要被批准才能完成证书轮换。要在新的 kubeadm 集群中配置 kubelet 以使用被正确签名的服务证书, 你必须向。
Kubernetes (K8s)安装部署过程(三)之证书kubeconfig文件创建
云深海阔专栏
08-13 1454
说明   安装kubelet工具,参考:https://jimmysong.io/kubernetes-handbook/practice/kubectl-installation.html 安装并赋予可执行权限,继续进行操作: 1、创建TLS bootstrapping Token,即token.csv文件 # export BOOTSTRAP_TOKEN=$(head -c 16 /dev/urandom | od -An -t x | tr -d ' ') # cat > token.c
k8s实践(8)--ssl安全认证配置
黄规速博客:学如逆水行舟,不进则退
06-16 3055
一.基于CA签名的双向数字证书认证方式 在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的...
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 840
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
03_安装配置 kubectl
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-16 576
tags: kubectl 03. 安装配置 kubectl 03. 安装配置 kubectl 下载和分发 kubectl 二进制文件 创建 admin 证书和私钥 创建 kubeconfig 文件 分发 kubeconfig 文件 本文档介绍安装配置 kubernetes 命令行管理工具 kubectl 的步骤。 注意: 如果没有特殊指明,本文档的所有操作均在 zhangjun-k8s-01 节点上执行; 本文档只需要部署一次,生成的 kubeconfig 文件是通用的,可以拷贝到需
suse 12 二进制部署 Kubernetets 1.19.7 - 第01章 - 创建CA证书kubectl集群管理命令
以梦为马|越骑越傻
02-14 669
文章目录1、kubernetes集群部署1.0、创建CA证书和秘钥1.0.0、安装cfssl工具1.0.1、创建证书1.0.2、创建证书签名请求文件1.0.3、生成CA证书和秘钥1.0.4、分发CA证书到所有节点1.1、部署kubectl命令1.1.0、分发kubectl命令到所有节点1.1.1、创建admin证书和秘钥1.1.2、生成admin证书和秘钥1.1.3、创建kubeconfig文件1.1.4、分发kubeconfig文件 1、kubernetes集群部署 注:若没有特别指明操作的节点,默认
kubernetes容器集群管理(3)-Kubeconfig 部署TLS Bootstrapping
一别两宽丶各生欢喜
02-29 1201
1、TLS Bootstrapping一些理解 如果对 TLS Bootstrapping 完全没接触过推荐: https://blog.csdn.net/paopaohll/article/details/89022920 众所周知 TLS 的作用就是对通讯加密,防止中间人窃听;同时如果证书不信任的话本就无法与 apiserver建立连接,更不用提有没有权限向 apiserver 请求指定...
kubernetes 证书在线更新
不忘初心,方得始终
07-19 717
各个证书的过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc/kubernetes/pki/...
04-创建kubeconfig认证文件
weixin_30673715的博客
02-07 113
本文档记录自己的学习历程! 创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权; kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能,这样就不需要为每个客户端生成证书了;该功能当前...
k8s-04-一键生成bootstrap.kubeconfig和kube-proxy.kubecon
weixin_34375251的博客
10-02 808
#创建TLSBootstrappingToken exportBOOTSTRAP_TOKEN=$(head-c16/dev/urandom|od-An-tx|tr-d'') cat>token.csv<<EOF ${BOOTSTRAP_TOKEN},kubelet-bootstrap,10001,"system:ku...
华为云CCE集群证书配置
04-06
华为云CCE集群证书配置包括以下步骤: 1. 创建Kubernetes证书 Kubernetes证书包括以下几种类型: - CA证书:用于签发其他证书证书 - API Server证书:用于安全的API访问 - Kubelet证书:用于节点安全访问 - ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值