K8s--集群的设置-配置TLS

已于 2022-06-21 14:59:41 修改
阅读量619 收藏
点赞数
文章标签: ssl https 网络协议
于 2022-05-25 17:54:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081220/article/details/124970876
版权
本文深入探讨了K8s集群中TLS的配置,包括单向和双向TLS(mTLS)以及k8s的通信方式。介绍了如何不使用ingress-controller自带证书,而是通过cfssl工具创建自签名证书。此外,还详细阐述了如何通过cert-manager从互联网CA(如lets encrypt)申请证书,并简化申请流程。最后,讨论了Kubeconfig的证书验证和token登录选项。
摘要由CSDN通过智能技术生成

TLS 传输层加密 前身是SSl tls/ssl

只有A去验证B的证书的合法性 单向TLS
双向验证证书合法性 双向TLS 就是mTLS

https=http+tls/ssl

对称加密

加密和解密使用同一个密钥–密码
优点:加密大数据比较快
缺点:密钥不方便传输
常见:AES, DES 加密长度越长越安全

非对称加密

公钥、私钥
数据加密模式:公钥加密,私钥解密
数字签名模式:私钥加密,公钥解密

哈希函数

md5 sha1 sha512

k8s使用的就是mTLS进行通信

访问某个pod的时候,到底要不要TLS认证,这个就要看此pos里程序的配置了
etcd         /etc/kubernetes/manifests/etcd.yaml

kube-api    /etc/kubernetes/manifests/kube-apiserver.yaml
这些文件里面都有要求  都有指定证书

https的优点

1、整个通信都是被加密的—有效防止流量劫持
2、可以有效的提升搜索引擎的权重

[root@vms60 ~]# curl -vkL  https://www1.ck8s.com
* About to connect() to www1.ck8s.com port 443 (#0)
*   Trying 192.168.26.82...
* Connected to www1.ck8s.com (192.168.26.82) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* 	subject: CN=Kubernetes Ingress Controller Fake Certificate,O=Acme Co
* 	start date: 506 06:20:13 2022 GMT
* 	expire date: 506 06:20:13 2023 GMT
* 	common name: Kubernetes Ingress Controller Fake Certificate                # 标识了ca证书的来源

**使用的是ingress-controller里面的证书**

需求1 不使用ingress-controller自带证书,使用自己做的证书

cfssl工具

https://www.****.com/#s/8F8OHyjg

chmod +x  *
mv cfssl-certinfo_linux-amd64   /usr/local/bin/cfssl-certinfo
mv cfssljson_linux-amd64   /usr/local/bin/cfssljson
mv  cfssl_linux-amd64  /usr/local/bin/cfssl

一、ca的配置
二、申请CA证书
三、创建自签名的CA证书

cfssl print-defaults config > ca-config.json
root@vms81:~/soft/lab-CFSSL# cat ca-config.json
{
   
    "signing": {
   
        "default": {
   
            "expiry": "1680h"
        },
        "profiles": {
   
            "www": {
   
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            }
        }
    }
}


cfssl print-defaults csr  > ca-csr.json
root@vms81:~/soft/lab-CFSSL# vim ca-csr.json
{
   
    "CN": "ck8s.com",
    "key": {
   
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
   
            "C": "CN",
            "L": "Xuzhou",
            "ST": "Jiangsu",
            "O": "Lduan",
            "OU": "cks"
        }
    ]
}


cfssl  gencert -initca ca-csr.json | cfssljson -bare test-ca   # 生成一个自签名的CA,名字是CA证书的前缀
root@vms81:~/soft/lab-CFSSL# ls
ca-config.json  ca-csr.json  test-ca.csr  test-ca-key.pem  test-ca.pem

在这里插入图片描述

四、客户端配置

cfssl print-defaults csr > client-csr.json 
**admin-csr.json 里面的信息必须要与ca保持一致**
root@vms81:~/soft/lab-CFSSL# cat client-csr.json
{
   
    "CN": "ck8s.com",
    "key": {
   
        "algo": "ecdsa",
        "size": 256
    },
    "hosts": [
        "www1.ck8s.com"
    ],
    "names": [
最低0.47元/天 解锁文章
跳跃音符#3712
关注
centos8.5 搭建k8s--1.23.1集群
唐顺才的博客
12-19 156
1、kubernetes安装介绍 1.1 K8S架构图 在这里插入图片描述 master节点用于管理整个k8s集群 slave节点用于运行容器 1.2 K8S搭建安装示意图 3种网络类型: host机网络,master用于管理k8s集群 pod网络,pod之间互相调用 service网络,对外提供服务 1.3 节点设置: 1 节点资源: 节点ip 节点角色 192.168.1.101 k8s-master 192.168.1.102 k8s-node1 192.168.1
Kubernetes(K8S)(八)——ingress服务部署、会话保持和TLS配置
Aimee_c的博客
06-26 3927
文章目录1.Ingress介绍2. ingress服务部署3.创建Ingress服务4.使用HostNetwork本地端口直接访问服务5.实现会话保持6.Ingress TLS 配置 1.Ingress介绍 官网参考:https://kubernetes.github.io/ingress-nginx/ Ingress是一种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 Ingress由两部分组成:Ingress controller
K8S集群tls证书管理
weixin_33905756的博客
08-31 627
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1231
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
K8s cert-manager配置PKCS12的TLS
Duktig的博客
08-25 1197
K8s cert-manager配置PKCS12的TLS,实现自动化配置的方案。
k8s TLS bootstrap解析-k8s TLS bootstrap流程分析
良凯尔的博客
04-04 2311
k8s TLS bootstrap功能就是让kubelet先使用一个预先商定好的低权限的bootstrap token连接到kube-apiserver,向kube-apiserver申请证书,然后kube-controller-manager给kubelet动态签署证书,后续kubelet都将通过动态签署的证书与kube-apiserver通信。
K8S-6--集群版本升级/yaml/etcd/kubectl/
weixin_44515412的博客
12-21 1162
day6作业: 1.kubernetes 集群升级 2.总结yaml文件 3.etcd客户端使用、数据备份和恢复 4.kubernetes集群维护常用命令 5.资源对象 rc/rs/deployment service volume emptyDir hostpath NFS
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外详细笔记资料包
06-27
Kubernetes,简称K8s,是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。kubeadm是Kubernetes提供的一种轻量级工具,用于简化集群的初始化和升级过程。本资料包重点讲解如何使用kubeadm来...
kubeadm初始化高可用k8s1.20.4集群-etcd集群独立在k8s集群外-kubernetes安装包和详细文档笔记整理
最新发布
05-29
在创建高可用k8s集群时,我们通常会设置多个控制平面节点,以确保即使某个节点出现故障,集群也能继续运行。这涉及到配置复制的etcd集群,因为etcd存储了所有的API对象,如节点、服务、部署等状态。将etcd集群独立于...
K8S认证】2023年CKS考题-TLS安全配置(解析+答案)
wangluoanquan111的博客
01-30 950
通过TLS加强kube-apiserver安全配置,要求kube-apiserver除了 TLS 1.3 及以上的版本可以使用,其他版本都不允许使用。密码套件(Cipher suite)为 TLS_AES_128_GCM_SHA256通过TLS加强ETCD安全配置,要求密码套件(Ciphersuite)为TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。
k8s开发基础-配置ingress+tls
longway111的博客
03-24 1996
1.创建证书,web和web1分别对应一个独立的tls证书: (weops) [root@node201 tls]# openssl genrsa -out web-ingress.key 2048 Generating RSA private key, 2048 bit long modulus ......................................+++ ...............................................+++ e is 65537 (
K8S---kubelet TLS 启动引导
qq_41768644的博客
09-03 291
使用启动引导令牌启动完成的kubelet节点,其身份被认证(authenticated)为system:bootstrappers组的成员,该成员在默认情况,并没有创建CSR的以及其他相关权限,所以该成员需要被授权创建证书签名请求(CSR)并在证书被签名之后将其取回。当该节点第一次申请证书,在没有获取证书并使用证书访问之前,该节点的用户身份是bootstrap-token-,所属于组system:bootstrappers的成员;上述TLS 启动引导,只针对kubelet客户端证书,并不适合服务器端证书。
2、k8s集群手动部署笔记之自签TLS证书
maggie_up
07-09 1853
哪些组件需要证书? 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pe...
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1334
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
【博客494】k8s TLS Bootstrap机制
qq_43684922的博客
09-12 1095
流程图:场景:当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书,kubelet 的证书由 apiserver 动态签署。
k8s中ingress 设置tls https
weixin_43632687的博客
12-10 734
ingress 配置tls
k8s部署-1.自签TLS证书
a791846的博客
01-26 373
k8s自签TLS证书 组件 使用的证书 etcd ca.pem,server.pem,server-key.pem kube-apiserver ca.pem,server.pem,server-key.pem kubelet ca.pem,ca-key.pem kube-proxy ca.pem,kube-proxy.pem,kube-proxy-key.pem kubectl ca.pem,admin.pem,admin-key.pem 一、安装证书生成工具cfssl
kubeadm部署k8s1.27.2版本高可用集群(外部etcd集群TLS认证)
qq_23191379的博客
01-24 1325
kubeadm1部署k8s1.27.2版本高可用集群(外部etcd集群TLS认证)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值