kubernetes构建微服务-CA签名双向数字证书

最新推荐文章于 2024-06-28 18:30:27 发布
最新推荐文章于 2024-06-28 18:30:27 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: k8s kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39686421/article/details/80986051
版权

前言

如果在安全的内网中,k8s的各个组件与apiserver通讯可以通过8080端口,但是如果需要提供外网访问,更安全的做法是启用HTTPS。在使用客户端证书身份验证时,可以通过Easyrsa、Openssl、Cfssl生成证书,本篇博客基于Openssl。

CA签名的双向数字证书生成过程如下:

  • 在master节点上生成CA证书
  • 在apiserver生成一个数字证书,并用CA证书签名
  • 配置apiserver证书启动参数,包括CA证书、CA证书签名后的证书及私钥
  • 为kube-controller-manager、kube-scheduler、kubelet、kube-proxy及kubelet生成自己的数字证书,并用CA证书签名,然后配置启动证书的参数

Master节点生成CA证书

使用Openssl工具在master节点上创建CA证书。

openssl genrsa -out ca.key 2048             
openssl req -x509 -new -nodes -key ca.key -subj "/CN=kube.chen" -days 5000 -out ca.crt

Apiserver生成一个数字证书,并用CA证书签名

openssl genrsa -out server.key 2048
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt

master_ssl.cnf的配置如下,IP.1的IP地址跟apiserver配置的--service-cluster-ip-rang有关系,一般取第一个IP地址,IP2的IP地址是master节点的IP地址。

ions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = k8s.chen                   
IP.1 = 170.170.0.1               
IP.2 = 10.0.2.15               

通过两个步骤生成以下文件:ca.crt, ca.key, ca.srl, server.crt, server.csr, server.key,并复制到/var/run/kubernetes/目录下。

配置apiserver证书启动参数

然后配置apiserver的启动参数,配置如下:

KUBE_API_ARGS="--etcd-servers=http://127.0.0.1:2379 --insecure-bind-address=0.0.0.0 --insecure-port=0 --secure-port=443 --service-cluster-ip-range=170.170.0.0/16 --service-node-port-range=1-65535 --admission-control=NamespaceLifecycle,ServiceAccount,LimitRanger,ResourceQuota --logtostderr=false --log-dir=/home/chen/log/kubenetes --v=2"
KUBE_API_CERT="--client-ca-file=/var/run/kubernetes/ca.crt --tls-private-key-file=/var/run/kubernetes/server.key --tls-cert-file=/var/run/kubernetes/server.crt"
  • --client-ca-file代表CA根证书文件
  • --tls-private-key-file代表服务端私钥
  • --tls-cert-file代表服务端证书

同时关闭8080端口,启动443端口:--insecure-port=0 --secure-port=443

启动apiserver,如下:


配置kube-controller-manager和kube-scheduler证书及启动参数

生成私钥、证书,并用CA证书签名,执行命令如下:

openssl genrsa -out cs_client.key 2048
openssl req -new -key cs_client.key -subj “/CN=kube.chen” -out cs_client.csr
openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cs_client.crt -days 5000

把生产的证书复制到/var/run/kubernetes目录下,接下来创建/etc/kubernetes/kubeconfig文件,该文件controller和scheduler共用:

apiVersion: v1
kind: Config
users:
- name: controllermanager
  user:
    client-certificate: /var/run/kubernetes/cs_client.crt
    client-key: /var/run/kubernetes/cs_client.key
clusters:
- name: local
  cluster:
    certificate-authority: /var/run/kubernetes/ca.crt
contexts:
- context:
    cluster: local
    user: controllermanager
  name: my-context
current-context: my-context

接着设置kube-controller-manager和kube-scheduler的启动配置:

kube-controller-manager配置如下:

KUBE_CONTROLLER_MANAGER_ARGS="--master=https://10.0.2.15:443 --logtostderr=false --log-dir=/home/chen/log/kubernetes --v=2 --service-account-private-key-file=/var/run/kubernetes/server.key --root-ca-file=/var/run/kubernetes/ca.crt --kubeconfig=/etc/kubernetes/kubeconfig"

kube-scheduler配置如下:

KUBE_SCHEDULER_ARGS="--master=https://10.0.2.15:443 --logtostderr=false --log-dir=/home/chen/log/kubernetes --v=2 --kubeconfig=/etc/kubernetes/kubeconfig"

分别启动kube-controller-manager和kube-scheduler,截图如下:



配置kubelet和kube-proxy证书及启动参数

生产私钥、证书,并用CA签名

openssl genrsa -out kubelet_client.key 2048
openssl req -new -key kubelet_client.key -subj "/CN=kube.chen" -out kubelet_client.csr
openssl x509 -req -in kubelet_client.csr  -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000

把生成的证书复制到/var/run/kubernetes目录下,其中ca.crt和ca.key是master生成的私钥和证书。

创建/etc/kubernetes/kubeconfig_node文件,文件如下:

apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /var/run/kubernetes/kubelet_client.crt
    client-key: /var/run/kubernetes/kubelet_client.key
clusters:
- name: local
  cluster:
    server: https://10.0.2.15:443
    certificate-authority: /var/run/kubernetes/ca.crt
contexts:
- context:
    cluster: local
    user: kubelet
  name: my-context
current-context: my-context

配置kubelet的启动参数,配置如下:

KUBELET_ARGS="--kubeconfig=/etc/kubernetes/kubeconfig_node --api-servers=https://10.0.2.15:443 --fail-swap-on=false --runtime-cgroups=/systemd/system.slice --kubelet-cgroups=/systemd/system.slice  --logtostderr=false --log-dir=/home/chen/log/kubenetes --v=2"

配置kube-proxy的启动参数,配置如下:

KUBE_PROXY_ARGS="--master=https://10.0.2.15:443 --logtostderr=false --log-dir=/home/chen/log/kubernetes --v=2 --kubeconfig=/etc/kubernetes/kubeconfig_node"

分别启动kubelet和kube-proxy,截图如下:



然后在通过以下命令:

kubectl --server=https://10.0.2.15:443 --certificate-authority=/var/run/kubernetes/ca.crt --client-certificate=/var/run/kubernetes/cs_client.crt --client-key=/var/run/kubernetes/cs_client.key get nodes

既可以对apiserver进行安全的访问了。

结束语

通过CA签名的双向数字证书认证的方式稍微比较复杂,现在实际的案例中通过cfssl生成证书的比较常见,下来有时间写一篇关于基于cfssl的博客。本文参考了点击打开链接

陈嘟嘟
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S应用笔记 —— 签发自签名证书用于Ingress的https配置
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置。
基于Java的实例源码-数字签名数字证书生成源码.zip
07-08
2. **数字证书的创建**:这可能涉及到使用`KeyPairGenerator`生成公钥/私钥对,创建自签名证书,或者通过`CertificateSigningRequest`向CA申请证书。`CertificateFactory`类可用于从X.509格式的证书证书请求中创建...
kubernetes 1.21.10 apiserver报错 Error: [service-account-issuer is a required flag]
云深海阔专栏
08-11 1137
生成sa证书和pub。
Kubernetes 证书详解
qq_37091832的博客
05-25 3359
Kubernetes 组件之间证书的关系~
零知识证明基础:数字签名
最新发布
zr2006_7的专栏
06-28 728
的应用。数字签名技术一般分为带仲裁和不带仲裁的两类。如果使用对称密钥进行数字签名,则必须使用仲裁者,非对称可以不带仲裁。
使用cfssl签发证书
whitek的博客
12-23 709
下载cfssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-certinfo chmod +x /usr/
kubernetes 证书详解
Vic的博客
10-28 412
类型CACN认证描述官方Etcd对外提供服务kube-etcd节点相互通信的证书clientpod中Liveness探针客户端证书k8sca.crt,keysa.pub,key服务帐户密钥serverapiserver 证书clientkubelet证书clientapiserver访问etcd的证书client用于前端代理。
信息安全大作业-CA系统的设计和实现源码(电子认证服务系统-数字证书数字签名python语言)+项目详细说明.7z
12-14
信息安全大作业_CA系统的设计和实现源码(电子认证服务系统_数字证书数字签名python语言)+项目详细说明.7z CA代表Certificate Authority。也就是电子认证服务或机构,为电子签名相关各方提供真实性和可靠性验证,是...
数字签名简单理解总结+ca证 书的简单认识
11-04
公钥基础设施(PKI)是数字签名的基础,它包括了证书认证机构(CA)、证书库和证书撤销列表(CRL)等组成部分。CA是关键角色,负责验证用户身份并签发数字证书证书包含了用户的身份信息和公钥,使得其他用户能够...
Windows-CA-证书服务器配置(二)-——-申请数字证书.docx
10-04
Windows-CA-证书服务器配置(二)——申请数字证书 Windows-CA-证书服务器配置是 Windows 操作系统中的一种证书服务器配置,主要用于实现身份认证和加密通信。该配置的第二部分是申请数字证书,即申请人向证书...
代码签名数字证书(含私钥)_过期证书_过期数字签名强制签名工具_数字签名_证书
09-10
本文将深入探讨过期证书、过期数字签名的处理、强制签名工具以及数字签名证书的相关知识。 首先,我们要理解什么是代码签名数字证书。这是一种由权威的证书颁发机构(CA)颁发的证书,用于验证软件的开发者身份和...
【错误解决】kubernetes 1.21.10 apiserver报错 Error: [service-account-issuer is a required flag
weixin_42072280的博客
03-11 4793
报错日志 Error: [service-account-issuer is a required flag, --service-account-signing-key-file and --service-account-issuer are required flags] 解决办法 生成sa证书和pub cat<<EOF > /root/k8s/certs/sa-csr.json { "CN":"sa", "key":{ "algo":"rsa",
kubernetes(k8s)集群内查看master节点api-server地址信息及服务证书key
u013659506的博客
08-30 7727
k8s集群部署后通常会用到apiserver和ca证书,供其他依赖k8s原生功能的应用调用
数字证书的生成、验证原理
bbhnnvcf的博客
04-03 2569
数字证书的原理 摘录自各个文章,把关键点整合了一下。 CA记为证书签发机构 证书生成过程: CA产生一对RSA公私钥。 生成一个文件,记为P,包含:公钥、签发者ID、有效期、其他信息。 计算P的hash值,记为H。用私钥对H进行RSA加密,得到S。 则数字证书是(P,S) 别人验证证书的过程: 验证上述数字证书(P,S)过程: 从P中获得公钥,用公钥解密S得到H1。 计算P的hash值,得到H2。 若H1=H2,证明这个证书是有签发者签发给它的证书。(证书要在有效期内) 若H1!=H2,说明 P被篡改过 或
Kubernetes集群的CA签名双向数字证书图示
runzhliu大数据/容器日记
05-21 614
Kubernetes 提供了基于 CA 签名双向数字证书的认证方式,一般对于一个安全性要求比较高的集群,一般会选择双向数字证书的认证方式,而不采用 HTTP Base 或 Token 的认证方式的,所以对于搭建集群的安全设置,这种认证方式是需要掌握的。 api-server 作为 Master 节点的进程,像 Kubernetes 的其他组件都需要与之通信,所以这些证书的前提都是先在 Master 为 api-server 生成一个由 CA 证书签名数字证书 server.crt,留意图一的过程。ca.
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2248
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
后端开发基础-Spring框架学习-002——基础概念
2401_83916394的博客
04-12 593
对于很多Java工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。再分享一波我的Java面试真题+视频学习详解+技能进阶书籍《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Kubernetes 证书
qq_42989020的博客
02-10 129
kubernetes证书
Kubernetes客户端认证—— 基于CA证书双向认证方式
2301_76429513的博客
08-02 652
Kubernetes中,Kubectl和API Server、Kubelet和API Server、API Server和Etcd、Kube-Scheduler和API Server、Kube-Controller-Manager和API Server以及Kube-Proxy和API Server之间是基于CA证书签名双向数字证书方式进行认证;在Kubernetes中,集成的组件和API Server之间也可以选择配置基于CA证书签名双向数字证书方式进行认证,比如Metrics Servser。
"数字签名CA证书简单入门指南,应用与分类详解
数字证书是一种由数字证书颁发机构(CA)签发的电子文件,用于证明特定实体的身份。数字证书包含证书持有人的公钥和其他身份相关信息,并由颁发机构的私钥进行签名。接收者可以使用颁发机构的公钥来验证数字证书的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值