kubernetes kubectl 签名TLS证书

最新推荐文章于 2023-08-18 17:07:44 发布
最新推荐文章于 2023-08-18 17:07:44 发布
阅读量1k 收藏
点赞数
分类专栏: kubernetes/docker 文章标签: kubernetes kubectl tls 签名 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35753140/article/details/106551332
版权

kubernetes 集群可以为证书签名,用于集群内部的TLS通信,ca就是集群的ca,每个pod里面serviceaccount的secret都带着。

1. 创建证书签名请求-csr

$ cat <<EOF | ./cfssl genkey - | ./cfssljson -bare server
{
  "hosts": [
    "nginx.default.svc.cluster.local"
  ],
  "CN": "nginx.default.svc.cluster.local",
  "key": {
    "algo": "ecdsa",
    "size": 256
  }
}
EOF
2020/06/03 10:49:59 [INFO] generate received request
2020/06/03 10:49:59 [INFO] received CSR
2020/06/03 10:49:59 [INFO] generating key: ecdsa-256
2020/06/03 10:49:59 [INFO] encoded CSR

生成了私钥文件 server-key.pem 和签名请求文件 server.csr

2. 创建发送给 Kubernetes API的 csr 对象

$ cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: my-svc.default
spec:
  request: $(cat server.csr | base64 | tr -d '\n')
  usages:
  - digital signature
  - key encipherment
  - server auth
EOF
certificatesigningrequest.certificates.k8s.io/my-svc.default created

查看csr对象,状态为Pending

$ k get csr
NAME             AGE     SIGNERNAME                     REQUESTOR          CONDITION
my-svc.default   6m25s   kubernetes.io/legacy-unknown   kubernetes-admin   Pending

3. 批准证书签名请求

$ k certificate approve my-svc.default
certificatesigningrequest.certificates.k8s.io/my-svc.default approved

$ k get csr
NAME             AGE   SIGNERNAME                     REQUESTOR          CONDITION
my-svc.default   11m   kubernetes.io/legacy-unknown   kubernetes-admin   Approved,Issued

4. 下载证书文件

$ k get csr my-svc.default -o jsonpath='{.status.certificate}' | base64 --decode > server.crt

得到证书文件 server.crt

5. 使用 server.crt 和 server-key.pem 创建 https server

5.1 创建证书和私钥的secret

k create secret generic https --from-file=server.crt --from-file=server-key.pem

5.2 创建nginx配置文件的cm

$ cat <<EOF | k apply -f -
> apiVersion: v1
> kind: ConfigMap
> metadata:
>   name: nginx
> data:
>   my-nginx-config.conf: |
>     server {
>       listen 80;
>       listen 443 ssl;
>       server_name www.example.com;
>       ssl_certificate certs/server.pem;
>       ssl_certificate_key certs/server-key.pem;
>       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>       ssl_ciphers HIGH:!aNULL:!MD5;
>
>       location / {
>         root /usr/share/nginx/html;
>         index index.html index.htm;
>       }
>     }
> EOF
configmap/nginx created

5.3 创建nginx部署

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: nginx
  name: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      initContainers:
      - name: page-initiator
        image: busybox
        imagePullPolicy: Never
        command: ['sh', '-c', 'echo $HOSTNAME > /data/index.html']
        volumeMounts:
        - mountPath: /data
          name: page-volume
      containers:
      - image: nginx:1.7.9
        name: nginx
        imagePullPolicy: Never
        volumeMounts:
        - mountPath: /usr/share/nginx
          name: page-volume
        - mountPath: /etc/nginx/certs
          name: certs
          readOnly: true
        - mountPath: /etc/nginx/conf.d
          name: config
          readOnly: true
        ports:
        - containerPort: 80
        - containerPort: 443
      volumes:
      - name: page-volume
        emptyDir: {}
      - name: certs
        secret:
          secretName: https
      - name: config
        configMap:
          name: nginx
          items:
            - key:  my-nginx-config.conf
              path: https.conf

6. 在pod中使用 serviceaccount 带的 ca.crt 访问 https 站点

$ k run curl --image=curlimages/curl --command -- sleep infinity
$ k exec -it curl-9c984d666-9hlfc -- sh
$ curl https://nginx.default.svc.cluster.local --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
nginx-7464848dfc-twmtv
疯琴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes安装系列之tls方式下的kubectl设定
知行合一 止于至善
03-30 2878
这篇文章整理一下apiserver的缺省8080端口关闭的方法,以及这种方式下kubectl的设定方式,本文以脚本的方式进行固化,内容仍然放在github的easypack上。
k8s集群———etcd-ssl自签名证书
asdfghj1221的博客
03-18 527
etcd集群master节点安装 1,自签名SSL证书 ##安装工具cfssl $ cat cfssl.sh curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd6...
kubernetes容器集群管理(1)-集群规划、TSL协议证书、Etcd集群搭建
一别两宽丶各生欢喜
02-27 563
1、特性 自动化容器的部署和复制 随时扩展或收缩容器规模 将容器组织成组,并且提供容器间的负载均衡 很容易地升级应用程序容器的新版本 提供容器弹性,如果容器失效就替换它 2、对象概念 #基本对象概念 Pod: 最小部署单元。一个pod有一个或多个容器,共享网络与存储 Service: 应用服务抽象。定义了Pod逻辑集合和访问这个Pod集合的策略。Service通过Lable Sele...
kubernetes认证授权
班婕妤
04-15 2114
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证 在kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
Kubernetes 用户认证-证书签名请求
qq_37377136的博客
08-15 850
官方证书签名请求 一、创建私钥 普通用户 为了让普通用户能够通过认证并调用 API,需要执行几个步骤。 首先,该用户必须拥有 Kubernetes 集群签发证书, 然后将该证书作为 API 调用的 Certificate 头或通过 kubectl 提供。 创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 你可以参考 RBAC 了解标准组的信息。 openssl genrsa -out myuser.key 20
cert-manager:Kubernetes的自动TLS证书管理器-开源
04-25
开箱即用的证书管理器支持ACME(即,让我们加密),HashiCorp Vault,Venafi,自签名和内部CA颁发者类型。 cert-manager是Kubernetes原生的,因此,它原生地针对Kubernetes和OpenShift。 这意味着它可以与集群的...
基于tls的CA测试证书
12-06
生成基于ecparam的CA证书意味着使用椭圆曲线算法来生成公钥和私钥对,以及签名证书。 生成一套基于ecparam的CA证书通常包括以下步骤: 1. **创建CA私钥**:首先,使用命令行工具(如OpenSSL)生成一个私钥,指定...
Kubernetes中的证书工作机制详解
11-29
Kubernetes 是一个强大的容器编排系统,其内部的证书工作机制对于确保集群安全至关重要。...为了深入了解,可以参考提供的链接或其他相关文档,进一步学习 TLS 原理以及如何在 Kubernetes 中管理和生成证书
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
Kubernetes中自动配置和管理TLS证书-Golang开发
05-26
cert-manager cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试对cert-manager进行认证cert-manager是Kubernetes的附加组件,可自动管理和颁发...
kubectl 命令详解(二十八):create secret tls
youzhouliu的博客
05-07 3501
kubectl create secret tls命令详解。
kubectl 执行时报错:Inable to connectto the server: net/http: TLs handshake timeout
weixin_46771472的博客
03-28 9828
5. 使用其它命令:如果 kubectl 经常出现 TLS 握手错误,则可以尝试使用其它命令(例如 curl 或 wget)进行测试,这可能有助于确定是否是 kubectl 本身出现了问题。4. 调整 kubectl 配置参数:您可以尝试调整 kubectl 的参数(例如 --tls-handshake-timeout)以增加 TLS 握手的超时时间。1. 检查证书是否有效:在某些情况下,TLS 握手失败可能是由于证书过期、证书不匹配或证书链不完整等原因导致的。如果有问题,请检查您的网络设置。
K8S之Kuboard显示已导入【创建 X509KeyPair 失败】 tls: failed to find any PEM data in certificate input
一掬净土
07-06 1859
kuboard用着用着,突然发现,只是已导入状态,而不是已就绪的状态,且重新导入kubeconfig显示的提示。
k8s/kuboard安装(有问题无法解决,废弃)
weixin_41048370的博客
05-30 2053
k8s使用 第二章 在minikube环境下安装kuboard
K8S应用笔记 —— 签发签名证书用于Ingress的https配置
最新发布
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置。
K8S集群tls证书管理
weixin_33905756的博客
08-31 619
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
容器编排技术 -- Kubernetes kubectl create deployment 命令详解
YunWisdom
08-27 3470
容器编排技术 -- Kubernetes kubectl create deployment 命令详解 1kubectl create deployment 2语法 3示例 4Flags kubectl create deployment 创建具有指定名称的deployment。 语法 $ deployment NAME --image=image [--dry-r...
kubectl create 命令使用
qq_43773590的博客
07-08 8103
kubectl create 命令使用
Kubernetes集群TLS管理与智慧校园建设
- 创建TLS证书:在Kubernetes中,通常使用自签名证书或由权威CA签发证书。可以通过脚本或工具(如openssl)生成证书和私钥。 - 存储证书证书和私钥应该被安全地存储在Secret对象中,避免直接暴露在配置文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值