k8s搭建之證書製做
證書
kubernetes 系統的各組件須要使用 TLS 證書對通訊進行加密,本文檔使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書。
生成的 CA 證書和祕鑰文件以下:
ca-key.pem
ca.pem
kubernetes-key.pem
kubernetes.pem
kube-proxy.pem
kube-proxy-key.pem
admin.pem
admin-key.pem
使用證書的組件以下:
etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kubelet:使用 ca.pem;
kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller、kube-scheduler 當前須要和 kube-apiserver 部署在同一臺機器上且使用非安全端口通訊,故不須要證書。 node
安裝CFSSL
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 chmod +x cfssl_linux-amd64 mv cfssl_linux-amd64 /usr/local/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 chmod +x cfssljson_linux-amd64 mv cfssljson_linux-amd64 /usr/local/bin/cfssljson wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 chmod +x cfssl-certinfo_linux-amd64 mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
建立CA
建立ca配置文件 linux
mkdir ssl
cfssl print-defaults config > config.json
修改配置文件config.json並從新命名爲ca-config.json
cat > ca-config.json << EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
EOF
#####字段說明
ca-config.json:能夠定義多個 profiles,分別指定不一樣的過時時間、使用場景等參數;後續在簽名證書時使用某個 profile;
signing:表示該證書可用於簽名其它證書;生成的 ca.pem 證書中 CA=TRUE;
server auth:表示client能夠用該 CA 對server提供的證書進行驗證;
client auth:表示server能夠用該CA對client提供的證書進行驗證 json
建立ca證書籤名請求 api
cfssl print-defaults csr > csr.json
修改配置文件csr.json並從新命名爲ca-csr.json
cat > ca-csr.json << EOF
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
字段說明
「CN」:Common Name,kube-apiserver 從證書中提取該字段做爲請求的用戶名 (User Name);瀏覽器使用該字段驗證網站是否合法;
「O」:Organization,kube-apiserver 從證書中提取該字段做爲請求用戶所屬的組 (Group); 瀏覽器
生成CA證書和私鑰 安全
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
###建立kubernetes證書
####建立證書籤名請求
cat > kubernetes-csr.json << EOF
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"172.16.20.207",
"172.16.20.208",
"172.16.20.209",
"10.254.0.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
字段說明
若是 hosts 字段不爲空則須要指定受權使用該證書的 IP 或域名列表,因爲該證書後續被 etcd 集羣和 kubernetes master 集羣使用,因此上面分別指定了 etcd 集羣、kubernetes master 集羣的主機 IP 和 kubernetes 服務的服務 IP(通常是 kue-apiserver 指定的 service-cluster-ip-range 網段的第一個IP,如 10.254.0.1。 ide
生成kubernetes證書和私鑰工具
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes ls kubernetes* kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem
建立admin證書 post
建立證書籤名請求 網站
cat > admin-csr.json << EOF
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "system:masters",
"OU": "System"
}
]
}
EOF
#####說明
後續 kube-apiserver 使用 RBAC 對客戶端(如 kubelet、kube-proxy、Pod)請求進行受權;
kube-apiserver 預約義了一些 RBAC 使用的 RoleBindings,如 cluster-admin 將 Group system:masters 與 Role cluster-admin 綁定,該 Role 授予了調用kube-apiserver 的全部 API的權限;
OU 指定該證書的 Group 爲 system:masters,kubelet 使用該證書訪問 kube-apiserver 時 ,因爲證書被 CA 簽名,因此認證經過,同時因爲證書用戶組爲通過預受權的 system:masters,因此被授予訪問全部 API 的權限;
生成admin證書及私鑰
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin ls admin* admin.csr admin-csr.json admin-key.pem admin.pem
建立kube-proxy證書
建立證書籤名請求
cat > kube-proxy-csr.json << EOF
{
"CN": "system:kube-proxy",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
說明
CN 指定該證書的 User 爲 system:kube-proxy;
kube-apiserver 預約義的 RoleBinding cluster-admin 將User system:kube-proxy 與 Role system:node-proxier 綁定,該 Role 授予了調用 kube-apiserver Proxy 相關 API 的權限;
生成kube-proxy 客戶端證書和私鑰
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy ls kube-proxy* kube-proxy.csr kube-proxy-csr.json kube-proxy-key.pem kube-proxy.pem
校驗證書
使用openssl命令
以kubetnetes.pem爲例
openssl x509 -noout -text -in kubernetes.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
40:d3:01:e4:ed:67:d6:76:13:99:59:93:b8:3c:84:7c:b6:4b:7d:82
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
Validity
Not Before: Aug 30 03:36:00 2018 GMT
Not After : Aug 30 03:36:00 2019 GMT
Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
#####說明
確認 Issuer 字段的內容和 ca-csr.json 一致;
確認 Subject 字段的內容和 kubernetes-csr.json 一致;
確認 X509v3 Subject Alternative Name 字段的內容和 kubernetes-csr.json 一致;
確認 X509v3 Key Usage、Extended Key Usage 字段的內容和 ca-config.json 中 kubernetes profile 一致
####使用 cfssl-certinfo 命令
cfssl-certinfo -cert kubernetes.pem ##分發證書
master
mkdir /etc/kubernetes/ssl -p cp /root/ssl/*.pem /etc/kubernetes/ssl/ scp -r /etc/kubernetes k8s-node1:/etc/ scp -r /etc/kubernetes k8s-node2:/etc/
####說明
master建立/etc/kubernetes/ssl目錄,將.pem結尾證書放入此目錄;copy這個kubetnetes目錄到node節點
#####參考連接
http://blog.jobbole.com/104919/
https://jimmysong.io/posts/kubernetes-tls-certificate/
- 1. 證書製做
- 2. k8s 之證書籤發
- 3. [K8S] 認證集羣搭建
- 4. tomcat證書製做
- 5. ice證書製做
- 6. 製做SSL證書
- 7. iOS -證書製做
- 8. 自制證書搭建https服務
- 9. OpensAS2搭建+AS2證書製作+SSL證書導入(EDI)
- 10. k8s 簽發證書
- 更多相關文章...
- • Swift 環境搭建 - Swift 教程
- • Rust 環境搭建 - RUST 教程
- • 漫談MySQL的鎖機制
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 證書製做
- 2. k8s 之證書籤發
- 3. [K8S] 認證集羣搭建
- 4. tomcat證書製做
- 5. ice證書製做
- 6. 製做SSL證書
- 7. iOS -證書製做
- 8. 自制證書搭建https服務
- 9. OpensAS2搭建+AS2證書製作+SSL證書導入(EDI)
- 10. k8s 簽發證書