k8s 证书配置大全
Kubernetes 证书配置大全
证书是网络通讯的安全的要素,是现代网络通讯的基本配置。各类远程调用的安全都离不开非对称加密提供的保障。node
下载证书工具
cfssl 是 CloudFlare 开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具(cfssl, cfssljson)用于签名,验证而且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。与 OpenSSL 相比,cfssl 使用起来更简单。git
Github 地址: https://github.com/cloudflare...
官网地址: https://pkg.cfssl.org/github
若是有golang环境,用go安装很简单golang
$ go get -u github.com/cloudflare/cfssl/cmd/cfssl $ go get -u github.com/cloudflare/cfssl/cmd/cfssljson
cfssljson 实用程序shell
大部分 cfssl 的输出为 JSON 格式。cfssljson 能够将输出拆分出来为独立的key,certificate,CSR 和 bundle文件。该工具须要指定参数,-f 指定输入文件,后接一个参数,指定生成的文件的基本名称。若是输入文件名是 -(默认值),则 cfssljson 从标准输入读取。它如下列方式将 JSON 文件中的键映射到文件名:json
- 若是指定了cert或certificate, 将生成basename.pem。
- 若是指定了key 或private_key,则将生成basename-key.pem。
- 若是指定了csr 或certificate_request,则将生成basename.csr。
- 若是 指定了bundle, 则将生成basename-bundle.pem。
- 若是指定了ocspResponse, 则将生成basename-response.der。
您能够传递-stdout输出编码内容到标准输出,而不是保存到文件。
验证证书有效期
cfssl certinfo -cert /etc/kubernetes/ssl/ca.pem |grep not_after cfssl certinfo -cert /etc/kubernetes/ssl/admin.pem |grep not_after cfssl certinfo -cert /etc/kubernetes/ssl/kubernetes.pem |grep not_after cfssl certinfo -cert /etc/kubernetes/ssl/kube-proxy.pem |grep not_after
生成新证书
证书分四类bootstrap
- ca.pem - 私有CA根证书
- kubernetes.pem - 与 node 通讯的,
- kube-proxy.pem - k8s 与容器通讯的
- admin.pem - kubectl 管理用
生成证书请求
在生成证书过程当中须要有四类文件api
- *.csr - 证书请求文件,base64格式,有
-----BEGIN CERTIFICATE REQUEST-----标识 - *csr.json - 证书请求文件,是上面格式的再封装,便于传给
cfssl,json格式,大括号开始 - *-key.pem - 私匙文件,base64格式,有
-----BEGIN RSA PRIVATE KEY-----标识 - *.pem - 证书文件,base64格式,能够用
cfssl certinfo -cert 文件名查看有效期,有-----BEGIN CERTIFICATE-----标识
以上四种文件,前两类是中间产物,事后能够不保留,后两个须要配置到系统中 (一般是主从结点的/etc/kubernetes/ssl目录下)。浏览器
中间文件和生成的文件最好放在一块儿安全
cat > ca-csr.json << 'HERE'
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
HERE
部分字段说明:
“CN”:Common Name,kube-apiserver 从证书中提取该字段做为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
“O”:Organization,kube-apiserver 从证书中提取该字段做为请求用户所属的组 (Group);
其余几类证书请求相似
用证书请求生成证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
配置证书,使其生效
须要把生成的证书复制到所有 master和 node 结点。
scp *.pem yourname@yournode:/etc/kubernetes/ssl/
在 master 结点上生成~/.kube/config便于kubectl平常交互使用
KUBE_APISERVER="https://192.168.122.100:6443" #这里换成你的 master 结点 IP
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER}
kubectl config set-credentials admin \
--client-certificate=/etc/kubernetes/ssl/admin.pem \
--embed-certs=true \
--client-key=/etc/kubernetes/ssl/admin-key.pem
kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=admin
kubectl config use-context kubernetes
ls ~/.kube/config
结点间通讯用的证书配置
cd /etc/kubernetes
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=bootstrap.kubeconfig
kubectl config set-credentials kubelet-bootstrap \
--token=${BOOTSTRAP_TOKEN} \
--kubeconfig=bootstrap.kubeconfig
kubectl config set-context default \
--cluster=kubernetes \
--user=kubelet-bootstrap \
--kubeconfig=bootstrap.kubeconfig
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/ssl/ca.pem \
--embed-certs=true \
--server=${KUBE_APISERVER} \
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-credentials kube-proxy \
--client-certificate=/etc/kubernetes/ssl/kube-proxy.pem \
--client-key=/etc/kubernetes/ssl/kube-proxy-key.pem \
--embed-certs=true \
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-context default \
--cluster=kubernetes \
--user=kube-proxy \
--kubeconfig=kube-proxy.kubeconfig
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
kubectl create clusterrolebinding kubelet-bootstrap \
--clusterrole=system:node-bootstrapper \
--user=kubelet-bootstrap
bootstrap方式给节点颁发证书
在配置好kubelet-bootstrap.kubeconfig后,重启结点,结点会向master申请证书。
master结点上运行
kubectl get certificatesigningrequests
会发现如下相似的输出
NAME AGE REQUESTOR CONDITION node-csr-dAxCUJNZ4 22m kubelet-bootstrap Pending
经过如下命令,受权颁发给节点证书
kubectl certificate approve node-csr-dAxCUJNZ4
经过后正常后会输出
certificatesigningrequest "node-csr-dAxCUJNZ4" approved
相关文章
- 1. nginx配置安全证书
- 2. https\SSL安全证书配置,Tomcat、nodejs、Nginx服务器安全证书配置
- 3. k8s 签发证书
- 4. nginx配置ssl安全证书
- 5. tomcat配置https安全证书
- 6. Tomcat配置多个ssl安全证书
- 7. 配置JDK环境、Tomcat、安全证书
- 8. nginx配置https安全证书
- 9. 配置HTTPS证书
- 10. 配置https证书
- 更多相关文章...
- • Docker 命令大全 - Docker教程
- • Eclipse Debug 配置 - Eclipse 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
欢迎关注本站公众号,获取更多信息
相关文章