Kubernetes 证书

最新推荐文章于 2023-05-25 21:42:06 发布
最新推荐文章于 2023-05-25 21:42:06 发布
阅读量126 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42989020/article/details/121875504
版权

参考文档

一文带你彻底厘清 Kubernetes 中的证书工作机制 | 云原生社区(中国)

TLS认证

双向TLS认证:

        客户端需要验证服务端的证书,服务端也需要通过客户端证书验证客户端身份。

双向TLS认证回涉及到以下文件:

  • 服务器端证书:服务器用于证明自身身份的数字证书,里面主要包含了服务器端的公钥以及服务器的身份信息。
  • 服务器端私钥:服务器端证书中包含的公钥所对应的私钥。公钥和私钥是成对使用的,在进行 TLS 验证时,服务器使用该私钥来向客户端证明自己是服务器端证书的拥有者。
  • 客户端证书:客户端用于证明自身身份的数字证书,里面主要包含了客户端的公钥以及客户端的身份信息。
  • 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。
  • 服务器端 CA 根证书:签发服务器端证书的 CA 根证书,客户端使用该 CA 根证书来验证服务器端证书的合法性。
  • 客户端 CA 根证书:签发客户端证书的 CA 根证书,服务器端使用该 CA 根证书来验证客户端证书的合法性。

 Kubernetes中使用到的证书

        

上图中使用序号对证书进行了标注。图中的箭头表明了组件的调用方向,箭头所指方向为服务提供方,另一头为服务调用方。图中标注的这些证书的作用分别如下:

  1. etcd 集群中各个节点之间相互通信使用的证书。由于一个 etcd 节点既为其他节点提供服务,又需要作为客户端访问其他节点,因此该证书同时用作服务器证书和客户端证书。

  2. etcd 集群向外提供服务使用的证书。该证书是服务器证书。

  3. kube-apiserver 作为客户端访问 etcd 使用的证书。该证书是客户端证书。

  4. kube-apiserver 对外提供服务使用的证书。该证书是服务器证书。

  5. kube-controller-manager 作为客户端访问 kube-apiserver 使用的证书,该证书是客户端证书。

  6. kube-scheduler 作为客户端访问 kube-apiserver 使用的证书,该证书是客户端证书。

  7. kube-proxy 作为客户端访问 kube-apiserver 使用的证书,该证书是客户端证书。

  8. kubelet 作为客户端访问 kube-apiserver 使用的证书,该证书是客户端证书。

  9. 管理员用户通过 kubectl 访问 kube-apiserver 使用的证书,该证书是客户端证书。

  10. kubelet 对外提供服务使用的证书。该证书是服务器证书。

  11. kube-apiserver 作为客户端访问 kubelet 采用的证书。该证书是客户端证书。

  12. kube-controller-manager 用于生成和验证 service-account token 的证书。该证书并不会像其他证书一样用于身份认证,而是将证书中的公钥/私钥对用于 service account token 的生成和验证。kube-controller-manager 会用该证书的私钥来生成 service account token,然后以 secret 的方式加载到 pod 中。pod 中的应用可以使用该 token 来访问 kube-apiserver, kube-apiserver 会使用该证书中的公钥来验证请求中的 token。

Kubernetes证书配置

etcd证书配置

需要在 etcd 的启动命令行中配置以下证书相关参数:

  • etcd 对外提供服务的服务器证书及私钥。
  • etcd 节点之间相互进行认证的 peer 证书、私钥以及验证 peer 的 CA。
  • etcd 验证访问其服务的客户端的 CA。
/usr/local/bin/etcd \\
  --cert-file=/etc/etcd/kube-etcd.pem \\                   # 对外提供服务的服务器证书
  --key-file=/etc/etcd/kube-etcd-key.pem \\                # 服务器证书对应的私钥
  --peer-cert-file=/etc/etcd/kube-etcd-peer.pem \\         # peer 证书,用于 etcd 节点之间的相互访问
  --peer-key-file=/etc/etcd/kube-etcd-peer-key.pem \\      # peer 证书对应的私钥
  --trusted-ca-file=/etc/etcd/cluster-root-ca.pem \\       # 用于验证访问 etcd 服务器的客户端证书的 CA 根证书
  --peer-trusted-ca-file=/etc/etcd/cluster-root-ca.pem\\   # 用于验证 peer 证书的 CA 根证书

 kubernetes证书配置

需要在 kube-apiserver 中配置以下证书相关参数:

  • kube-apiserver 对外提供服务的服务器证书及私钥。
  • kube-apiserver 访问 etcd 所需的客户端证书及私钥。
  • kube-apiserver 访问 kubelet 所需的客户端证书及私钥。
  • 验证访问其服务的客户端的 CA。
  • 验证 etcd 服务器证书的 CA 根证书。
  • 验证 service account token 的公钥。
/usr/local/bin/kube-apiserver \\ 
  --tls-cert-file=/var/lib/kubernetes/kube-apiserver.pem \\                             # 用于对外提供服务的服务器证书
  --tls-private-key-file=/var/lib/kubernetes/kube-apiserver-key.pem \\                  # 服务器证书对应的私钥
  --etcd-certfile=/var/lib/kubernetes/kube-apiserver-etcd-client.pem \\                 # 用于访问 etcd 的客户端证书
  --etcd-keyfile=/var/lib/kubernetes/kube-apiserver-etcd-client-key.pem \\              # 用于访问 etcd 的客户端证书的私钥
  --kubelet-client-certificate=/var/lib/kubernetes/kube-apiserver-kubelet-client.pem \\ # 用于访问 kubelet 的客户端证书
  --kubelet-client-key=/var/lib/kubernetes/kube-apiserver-kubelet-client-key.pem \\     # 用于访问 kubelet 的客户端证书的私钥
  --client-ca-file=/var/lib/kubernetes/cluster-root-ca.pem \\                           # 用于验证访问 kube-apiserver 的客户端的证书的 CA 根证书
  --etcd-cafile=/var/lib/kubernetes/cluster-root-ca.pem \\                              # 用于验证 etcd 服务器证书的 CA 根证书  
  --kubelet-certificate-authority=/var/lib/kubernetes/cluster-root-ca.pem \\            # 用于验证 kubelet 服务器证书的 CA 根证书
  --service-account-key-file=/var/lib/kubernetes/service-account.pem \\                 # 用于验证 service account token 的公钥
  ...

cfssl 证书生成(以etcd证书为例)

cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用。

# 创建工作目录
mkdir cfssl && cd cfssl/

# 下载软件包
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

# 增加可执行权限
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

# 放置到可执行文件目录
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

# 创建证书请求文件
cat > server-csr.json << EOF
{
    "CN": "etcd",
    "hosts": [
    "172.16.133.10",
    "172.16.133.11",
    "172.16.133.12"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

# 注:上述文件hosts字段中IP为所有etcd节点的集群内部通信IP,一个都不能少!为了方便后期扩容可以多写几个预留的IP。

# 生成证书,会生成server.pem和server-key.pem文件
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
qq_42989020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1658
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
Kubernetes---证书配置
weixin_51431591的博客
04-16 471
Kubernetes---证书配置一、ca.pem & ca-key.pem & ca.csr二、token.csv三、bootstrap.kubeconfig四、kubectl五、kubelet六、kube-apiserver七、kube-controller-manager八、kube-scheduler && kube-proxy 一、ca.pem & ca-key.pem & ca.csr 建立完整TLS加密通信,需要有一个CA认证机构,会向客户端下发
Kubernetes 证书详解
qq_37091832的博客
05-25 3339
Kubernetes 组件之间证书的关系~
kubernetes 证书详解
Vic的博客
10-28 411
类型CACN认证描述官方Etcd对外提供服务kube-etcd节点相互通信的证书clientpod中Liveness探针客户端证书k8sca.crt,keysa.pub,key服务帐户密钥serverapiserver 证书clientkubelet证书clientapiserver访问etcd的证书client用于前端代理。
kubernetes(k8s)集群内查看master节点api-server地址信息及服务证书key
u013659506的博客
08-30 7673
k8s集群部署后通常会用到apiserver和ca证书,供其他依赖k8s原生功能的应用调用
kuberntes 1.12 安装 Metrices-Server
ameng734086045的专栏
03-06 1894
从几个帖子中部分截取了少量描述,加上了自己的修改,仅做为自己的部署记录。 一、github资源下载 https://github.com/kubernetes/kubernetes/tree/release-1.12 目录/cluster/addons/metrics-server 二、环境准备 1、使用cfssl工具生成 证书 vimetrics-server-csr.jso...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
"Kubernetes证书一键生成"项目正是为了简化这个过程,它包含了自动化生成Kubernetes及其组件etcd所需证书的工具和配置文件。让我们深入了解一下这个过程以及相关知识点。 **Kubernetes证书的作用** 在Kubernetes中...
使用OpenSSL生成Kubernetes证书的介绍
09-30
Kubernetes集群中,安全通信是至关重要的,而证书扮演着关键角色。...通过本文,你应该对如何使用OpenSSL生成Kubernetes证书有了基本的认识,这对于你的Kubernetes集群管理和运维工作将大有裨益。
Kubernetes中的证书工作机制详解
11-29
Kubernetes 是一个强大的容器编排系统,其内部的证书工作机制对于确保集群安全至关重要。Kubernetes 使用证书进行组件间的身份验证,以确保网络通信的安全性和可靠性。以下是对标题和描述中涉及的知识点的详细说明:...
kubernetes学习
最新发布
01-22
TLS是专门用于保存tls/ssl证书和配对的私钥。Docker-registry是专用于让kubelet启动Pod时从私有镜像仓库pull镜像时,首先认证到仓库Registry时使用。 ConfigMap是Kubernetes集群中的一种配置管理资源对象,用于保存...
K8S各种各样的证书介绍
Vic的博客
10-28 3118
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 862
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
用户自助查看kubectl使用的证书状态以及如何更新
weixin_33763244的博客
04-23 3422
维护人 日期 内容 yanke679 2019-4-23 初版 基本概念 k8s 中有2种用户,一般用户和serviceAccount。 一般用户: 给集群外部用户使用,例如集群管理员通过 kubectl 这个客户端来操作集群,使用的就是一般用户,这个用户通过 k8s 的 RBAC 权限系统获得相应权限。 serviceAccount: 给集群内的资源使用,例如pod访问...
Kubernetes(k8s)证书机制
叮当猫的喵i
09-15 3428
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
kubectl认证 授权 准入控制
Jesse技术博客
09-13 8140
kubernetes 认证及serviceaccount(服务账号) kubernetes中apiservice是唯一访问的入口 认证-&gt;授权-&gt;准入控制 认证方式: token ssl kubect和node都要双向认证 K8s1.6以上增加了RBAC认证,授权检查 kuberadm是强制使用了kuberadm的授权认证 这都是最高的权限进行管理   用户账号具有以下信息:...
Kubernetes安装之五:配置kubectl客户端
weixin_34319817的博客
02-14 1302
1.创建kubectl 证书cat > /etc/ssl/kubectl/admin-csr.json <<EOF { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST":...
Kubernetes(k8s)1.14 离线版集群 - 创建CA证书、秘钥和部署kubectl工具
esqabc的博客
10-28 720
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除 1、安装CA证书生成工具 a、创建证书文件夹 [root@k8s-01 ...
通过kubeconfig文件生成证书,用curl访问Kubernetes API server
海鸥
04-15 2036
Kubernetes是一个完全基于API的系统。使用curl或Postman等简单工具,在构建应用程序之前获取API信息更方便。 1、从查看 kubectl 的配置文件开始,需要:三个证书和 API server 的地址 # cat /root/.kube/config 2、我们将会把证书设为环境变量,在设置时候请检查每一个参数。我们从 client-certificate-data 开始。 export clientcert=$(grep client-cert ~/.kube/confi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值