k8s部署之证书生成 2

最新推荐文章于 2024-07-29 10:39:41 发布
最新推荐文章于 2024-07-29 10:39:41 发布
阅读量755 收藏 2
点赞数 1
分类专栏: 个人分享 文章标签: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41985495/article/details/103348727
版权

在进行二进制搭建K8S集群前,我们首先要做的就是制作证书。下面是参考各个博主整理出来的。

1 一共有多少证书:

先从Etcd算起:
1、Etcd对外提供服务,要有一套etcd server证书
2、Etcd各节点之间进行通信,要有一套etcd peer证书
3、Kube-APIserver访问Etcd,要有一套etcd client证书
再算kubernetes:
4、Kube-APIserver对外提供服务,要有一套kube-apiserver server证书
5、kube-scheduler、kube-controller-manager、kube-proxy、kubelet和其他可能用到的组件,需要访问kube-APIserver,要有一套kube-APIserver client证书
6、kube-controller-manager要生成服务的service account,要有一对用来签署service account的证书(CA证书)
7、kubelet对外提供服务,要有一套kubelet server证书
8、kube-APIserver需要访问kubelet,要有一套kubelet client证书
加起来共8套,但是这里的“套”的含义我们需要理解。
同一个套内的证书必须是用同一个CA签署的,签署不同套里的证书的CA可以相同,也可以不同。例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。这算两套证书。

2 为什么同一个“套”内的证书必须是同一个CA签署的

原因在验证这些证书的一端。因为在要验证这些证书的一端,通常只能指定一个Root CA。这样一来,被验证的证书自然都需要是被这同一个Root CA对应的私钥签署,不然不能通过认证。
其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
TLS bootstrapping 简化kubelet证书制作
Kubernetes1.4版本引入了一组签署证书用的API。这组API的引入,使我们可以不用提前准备kubelet用到的证书。
官网地址:https://kubernetes.io/docs/tasks/tls/certificate-rotation/
每个kubelet用到的证书都是独一无二的,因为它要绑定各自的IP地址,于是需要给每个kubelet单独制作证书,如果业务量很大的情况下,node节点会很多,这样一来kubelet的数量也随之增加,而且还会经常变动(增减Node)kubelet的证书制作就成为一件很麻烦的事情。使用TLS bootstrapping就可以省事儿很多。
工作原理:Kubelet第一次启动的时候,先用同一个bootstrap token作为凭证。这个token已经被提前设置为隶属于用户组system:bootstrappers,并且这个用户组的权限也被限定为只能用来申请证书。 用这个bootstrap token通过认证后,kubelet申请到属于自己的两套证书(kubelet server、kube-apiserver client for kubelet),申请成功后,再用属于自己的证书做认证,从而拥有了kubelet应有的权限。这样一来,就去掉了手动为每个kubelet准备证书的过程,并且kubelet的证书还可以自动轮替更新

参考文档:
https://mritd.me/2018/01/07/kubernetes-tls-bootstrapping-note/
https://www.jianshu.com/p/bb973ab1029b

4 kubelet证书为何不同

这样做是一个为了审计,另一个为了安全。 每个kubelet既是服务端(kube-apiserver需要访问kubelet),也是客户端(kubelet需要访问kube-apiserver),所以要有服务端和客户端两组证书。
服务端证书需要与服务器地址绑定,每个kubelet的地址都不相同,即使绑定域名也是绑定不同的域名,故服务端地址不同
客户端证书也不应相同,每个kubelet的认证证书与所在机器的IP绑定后,可以防止一个kubelet的认证证书泄露以后,使从另外的机器上伪造的请求通过验证。
安全方面,如果每个node上保留了用于签署证书的bootstrap token,那么bootstrap token泄漏以后,是不是可以随意签署证书了?安全隐患非常大。所以,kubelet启动成功以后,本地的bootstrap token需要被删除。

**PS:**CN字段在这里面非常的重要,这个字段绑定 了k8s中 role的角色,不同的组件这个CN是不一样的

5 正式制作证书

虽然可以用多套证书,但是维护多套CA实在过于繁杂,这里还是用一个CA签署所有证书。
需要准备的证书:

  • admin.pem
  • ca.-key.pem
  • ca.pem
  • admin-key.pem
  • admin.pem
  • kube-scheduler-key.pem
  • kube-scheduler.pem
  • kube-contr
最低0.47元/天 解锁文章
马踏飞燕^
关注
专栏目录
K8S集群架构和证书
yan_0916的博客
02-26 4981
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1188
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
K8s集群 - Nginx配置及证书生成
最新发布
caryeko的专栏
07-29 430
证书生成工具 mkcert。
一、Kubernetes系列之介绍篇
weixin_30315435的博客
04-01 4086
•Kubernetes介绍 1.背景介绍   云计算飞速发展     - IaaS     - PaaS     - SaaS   Docker技术突飞猛进     - 一次构建,到处运行     - 容器的快速轻量     - 完整的生态环境 2.什么是kubernetes   首先,他是一个全新的基于容器技术的分布式架构领先方案。Kubernetes(k8s)是...
K8S各种各样的证书介绍
Vic的博客
10-28 3185
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
k8s证书文件解释
weixin_42595747的博客
06-27 705
k8s部署之使用CFSSL创建证书 wangzhkai 2018-05-12 12:07:10 6983 收藏 2 分类专栏: k8s 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certi
k8s证书修改为10年文件
06-13
1. **创建自签名证书**:通常,k8s集群部署时会使用`openssl`或`cfssl`等工具生成证书。要创建有效期为10年的证书,可以在生成证书时指定`notBefore`和`notAfter`时间戳。例如,使用openssl命令行可以这样设置: ``...
k8s部署kuboard(支持https认证)
11-04
在本文中,我们将深入探讨如何在Kubernetes (k8s) 集群中部署Kuboard,并配置其支持HTTPS认证。Kuboard是一款专为Kubernetes设计的免费管理界面,提供多集群管理、权限控制、监控和日志管理等功能,广泛应用于企业的...
K8s集群搭建ansible部署脚本
04-21
我个人给公司开发的使用ansible部署k8s的脚本,支持vagrant调用ansbile,和直接ansible执行两种方式。k8s二进制组件使用最新的1.23.5 部署以下模块内容包括: preinstall 安装前准备,主机环境初始化,二进制文件...
二进制部署k8s高可用集群(二进制-V1.20).docx
06-29
二进制部署k8s高可用集群(二进制-V1.20) 基于提供的文件信息,本文将对二进制部署k8s高可用集群进行详细的知识点总结。 1. 生产环境部署 K8s 集群的两种方式 在生产环境中,部署 K8s 集群有两种方式:一种是...
k8s证书认证
weixin_33955681的博客
06-21 4757
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。创建TLS证书和秘钥步鄹1.下载安装SSL,下载cfssl工具:https://pkg.cfssl.org/...
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1154
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
k8s:通过域名生成证书
weixin_42072280的博客
03-29 1453
正确方式 "hosts": [ "*.etcd" ], 完整生成证书的示例见附件 [root@node1 certs]# cat /root/k8s/cfg/etcd ETCD_OPTS="--name=etcd-2 \ --listen-peer-urls=https://192.168.56.169:2380 \ --initial-advertise-peer-urls=https://etcd2.etcd:2380 \ --listen-client-urls=http
K8S运维知识汇总】第4天1:关于k8s证书
就叫一片白纸的博客
07-12 378
前情回顾: 关于k8s证书 注:证书更换时,同时需要重新生成新的Kubeconfig文件
k8s有啥证书
weixin_42589700的博客
12-20 733
在 Kubernetes 中,有许多不同类型的证书可用于认证和加密通信。这些证书包括: TLS 证书:用于加密 HTTPS 通信的证书。 kubeconfig 证书:用于认证 kubectl 客户端与 Kubernetes 集群之间的通信的证书。 授权证书:用于认证 API 服务器与其他组件之间的通信的证书。 客户端认证证书:用于认证 API 服务器对来自客户端的请求的身份的证书。 服务...
k8s--100年证书?验证
weixin_41410744的博客
09-08 1428
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
k8s认证
wasd12121212的博客
10-17 942
RBAC可以设置subject:user,group和serviceaccount. user不是k8s管理的,可以通过具体的服务进行管理。对应k8s中就是secret。 serviceaccount是通过k8s管理的。就是每个pod访问api server的权限。   api启动参数分为--client的各种crt,key kubelete各种证书,tls(api srever自己用于客...
k8s证书机制
m0_46673598的博客
09-22 246
原文地址:https://www.zhaohuabing.com/post/2020-05-19-k8s-certificate/接触 Kubernetes 以来,我经常看到 Kubernetes 在不同的地方使用了证书(Certificate),在 Kubernetes 安装和组件启动参数中也需要配置大量证书相关的参数。但是 Kubernetes 的文档在解释这些证书的工作机制方面做得并不是太好。经过大量的相关阅读和分析工作后,我基本弄清楚了 Kubernetes 中证书的使用方式。
CentOS下Kubernetes详尽部署证书生成教程
本篇文章详细介绍了在CentOS 7.5环境下安装部署Kubernetes(K8s)集群的过程。首先,作者列出了用于部署的服务器环境,包括master节点(192.168.124.209)和两个node节点(192.168.124.236和192.168.124.237),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值