k8s的ca以及相关证书签发流程

已于 2024-04-08 16:08:00 修改
阅读量1.7k 收藏 19
点赞数 14
分类专栏: Kurbernets 分布式 Linux 文章标签: kubernetes 容器 云原生
于 2024-04-08 16:07:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/137511271
版权

k8s的ca以及相关证书签发流程

对于网站类的应用,网站管理员需要向权威证书签发机构(CA)申请证书,这通常需要花费一定的费用,也有非营利的证书签发机构,比如”Let’s Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲,它通常部署在企业内部,其管理面组件不需要暴露到公网,所以就不需要向外部的证书签发机构申请证书,系统管理员就可以自已签发证书供内部使用。

本文通过介绍部分内部组件的ca证书签发流程,引导相关的证书签发过程。

1. kube-apiserver相关证书说明

本节我们使用简单的例子,介绍一下如何使用openssl签发证书,侧重介绍签发证书流程,具体证书配置还需要管理员根据实际情况填写。以kube-apiserver为例,它的启动参数有3处需要配置证书:

--client-ca-file=/yourdirectory/ca.crt
--tls-cert-file=/yourdirectory/server.crt
--tls-private-key-file=/yourdirectory/server.key

其中

  • ca.crt即CA的证书,通常Kubernetes各个组件都配置相同的CA证书,
  • server.crt即kube-apiserver的证书,它将在与客户端建立连接时发送给客户端,由客户端进行验证
  • server.key即kube-apiserver的私钥,它不会发送给客户端,仅用于解密客户端发送的数据。

为了便于理解,我们假设有两位管理员参与证书签发流程,一位CA管理员负责管理CA的凭证并为他人提供签发证书的服务,一位管理员负责为kube-apiserver申请证书。

整体生成证书的流程如下

最低0.47元/天 解锁文章
[云原生k8s] k8sCA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1935
CA证书ETCD集群部署
k8s证书签发
qq_38461475的博客
07-16 552
1.证书签发准备 准备签发证书环境 运维主机 HDSS7-200.host.com上: 安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址 cfssl-json下载地址 cfssl-certinfo下载地址 [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64-O /usr/bin/cfssl [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfs...
Kubernetes(k8s)-证书介绍
最新发布
03-25 702
目前的版本默认走的都是6443的https协议,而且这个和我们常见的https协议不一样,普通的https协议是服务端配置证书,客户端不需要做任何配置。但是在Kubernetes里面这里的https走的是双向证书,简单来说就是客户端也必须带上自己证书,并且这个证书还是有权限控制的,然后才能请求服务端。
k8s从入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 645
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
[云原生k8s] k8sCA证书创建和使用
weixin_71429850的博客
11-03 2537
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1229
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
k8s 二进制安装证书签发 cfssl
03-21
Kubernetes (k8s) 集群中,安全通信是至关重要的,这涉及到证书的管理和签发。本文将深入探讨如何使用 CFSSL (CloudFlare SSL) 工具进行二进制安装,并用于 k8s证书签发。CFSSL 是一个由 CloudFlare 开发的...
cert-manager + Let‘s Encrypt + DNS 实现基于K8S的https证书自动签发
StarsL
11-02 647
通过创建Certificate资源来告知cert-manager :在哪个namespace生成证书、需要签发的域名的证书名称,域名对应的secret资源,以及的引用ClusterIssuer或者Issuer资源等等信息。创建ClusterIssuer或者Issuer资源用于创建颁发者,决定cert-manager签发证书的方式,然后会在cert-manager上的namespace下生成该颁发者的secret用于证书申请的准备。
K8S学习指南(49)-k8s证书管理
俞兆鹏的博客
12-30 2477
证书管理是指在Kubernetes集群中有效、安全地管理证书的过程。在集群中的各个组件之间以及与外部系统的通信中,通常使用证书来确保通信的安全性。证书管理包括证书的生成、颁发、更新和撤销等操作,以及相关的安全策略。用于加密和保护 Kubernetes API Server 与其他组件之间的通信。用于保护 etcd 数据库的通信,确保集群状态的安全。用于 kubelet 与 API Server 之间的通信,以及节点与控制平面之间的安全通信。
云原生k8sCA证书创建和使用
liji133122的博客
11-09 1114
云原生k8sCA证书创建和使用
K8s 证书认知(K8s Certificate Awareness)
Linux运维老纪的博客
02-14 2258
在谈起 Kubernetes 证书时,总感觉其涵盖的内容繁多,仿佛千头万绪,让人不知该从何处着手阐述。为了更好地理清思路,本文将对相关内容进行系统的梳理和记录。
解决 k8s kubeadm安装dashboard的时候ca认证
qq_21277357的博客
08-18 538
https://blog.csdn.net/chenleiking/article/details/81488028
K8S二进制部署之定义CA证书ETCD
l17605229954的博客
11-01 729
1、 服务器单向认证:只需要服务器端提供证书,客户端通过服务器端证书验证服务的身份,但服务器并不验证客户端的身份。④ 客户端私钥:客户端证书中包含的公钥所对应的私钥,同理,客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA证书签发服务器端证书CA证书,客户端使用该 CA证书来验证服务器端证书的合法性。⑥ 客户端端 CA证书签发客户端证书CA证书,服务器端使用该 CA证书来验证客户端证书的合法性。
Kubernetesk8s证书机制
叮当猫的喵i
09-15 3693
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
K8S各种各样的证书介绍
Vic的博客
10-28 3419
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
Kubernetes(k8s)1.14 离线版集群 - 创建CA证书、秘钥和部署kubectl工具
esqabc的博客
10-28 785
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除 1、安装CA证书生成工具 a、创建证书文件夹 [root@k8s-01 ...
K8s 集群(kubeadm) CA 证书过期解决方案
RAB
07-04 3332
K8s 集群(kubeadm) CA 证书过期解决方案。
K8S---CA架构详解
qq_41768644的博客
07-28 220
k8s ca 证书架构图 cfssl
k8s签发ssl证书
11-11
Kubernetes中,可以使用自签名证书CA证书来保护集群中的通信。下面是使用CA证书签发Kubernetes证书的步骤: 1. 创建CA证书 ```bash # 创建CA私钥 openssl genrsa -out ca.key 2048 # 创建CA证书签名请求 openssl req -new -key ca.key -subj "/CN=kubernetes-ca" -out ca.csr # 自签名CA证书 openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 2. 创建apiserver证书签名请求 ```bash # 创建apiserver私钥 openssl genrsa -out apiserver.key 2048 # 创建apiserver证书签名请求 openssl req -new -key apiserver.key -subj "/CN=kube-apiserver" -out apiserver.csr ``` 3. 使用CA证书签名apiserver证书 ```bash # 签发apiserver证书 openssl x509 -req -in apiserver.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apiserver.crt -days 365 ``` 4. 将证书和私钥放入Kubernetes配置文件中 将apiserver.crt和apiserver.key文件放入Kubernetes配置文件中的/etc/kubernetes/pki目录中。 5. 重启kube-apiserver服务 ```bash systemctl restart kube-apiserver ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值