在 Kubernetes 集群中,为了保证通信的安全,需要使用证书进行认证和加密。证书管理是 Kubernetes 集群中比较重要的一部分。在本篇文章中,我们将深入介绍如何在 Kubernetes 中管理集群证书,包括生成证书、更新证书、证书续订等操作。
生成证书
在 Kubernetes 中生成证书一般采用自签证书的方式,即自己颁发证书。首先需要创建一个 CA(Certificate Authority) 证书,然后使用 CA 证书颁发 kube-api-server、kubelet 等组件的证书。下面是生成证书的具体步骤。
创建 CA 证书
首先,在生成 CA 证书的机器上,创建一个目录并进入目录中:
mkdir -p ~/certs && cd ~/certs
创建一个 OpenSSL 的配置文件 ca-config.json,用于生成 CA 证书:
-- -------------------- ---- -------
-
---------- -
---------- -
--------- -------
--
----------- -
------------- -
--------- -
----------
---- --------------
------- ------
------- -----
--
--------- -------
-
-
-
-其中 signing.profile.kubernetes.usages 字段表示该 CA 证书可以用来签署身份认证、服务端认证和客户端认证证书。
创建 OpenSSL 的配置文件 ca-csr.json,用于生成 CA 证书的签发请求:
-- -------------------- ---- -------
-
----- -------------
------ -
------- ------
------- ----
--
-------- -
-
---- -----
---- -----------
---- -------------
----- -----
----- -----------
-
-
-其中 names.OU 字段表示部门名称,CN 字段表示证书名称。
生成 CA 证书和私钥:
openssl genrsa -out ca-key.pem 2048 openssl req -new -key ca-key.pem -out ca.csr -config ca-csr.json openssl x509 -req -in ca.csr -signkey ca-key.pem -out ca.pem -days 3650 -extensions v3_ca -extfile ca-config.json
其中最后一行 -extensions v3_ca -extfile ca-config.json 表示使用 ca-config.json 配置文件中的配置生成证书。
创建 kube-api-server 证书
kube-api-server 是 Kubernetes 中最主要的组件之一,所有的 API 访问都会经过它,因此它的证书必须要由 CA 颁发。下面是生成 kube-api-server 证书的具体步骤。
创建 OpenSSL 的配置文件 apiserver-csr.json,用于生成 kube-api-server 证书的签发请求:
-- -------------------- ---- -------
-
----- -----------------
-------- -
------------
----------------
-------------
---------------------
-------------------------
---------------------------------
--------------------------------------
--
------ -
------- ------
------- ----
--
-------- -
-
---- -----
---- -----------
---- -------------
----- ------------------
----- -----------
-
-
-其中 hosts 字段表示 kube-api-server 可以使用的主机名。
生成 kube-api-server 证书和私钥:
openssl genrsa -out apiserver-key.pem 2048 openssl req -new -key apiserver-key.pem -out apiserver.csr -config apiserver-csr.json openssl x509 -req -in apiserver.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out apiserver.pem -days 3650 -extensions v3_req -extfile ca-config.json
其中最后一行 -extensions v3_req -extfile ca-config.json 表示使用 ca-config.json 配置文件中的配置生成证书。
创建 kubelet 证书
kubelet 是 Kubernetes 中运行在 Node 节点上的组件,它负责管理 Node 上的容器。下面是生成 kubelet 证书的具体步骤。
创建 OpenSSL 的配置文件 kubelet-csr.json,用于生成 kubelet 证书的签发请求:
-- -------------------- ---- -------
-
----- ---------------------
-------- ---
------ -
------- ------
------- ----
--
-------- -
-
---- -----
---- -----------
---- ---------------
----- ----------
----- -----------
-
-
-其中 CN 字段是在 Kubernetes 中的 Node 的名称。
生成 kubelet 证书和私钥:
openssl genrsa -out kubelet-key.pem 2048 openssl req -new -key kubelet-key.pem -out kubelet.csr -config kubelet-csr.json openssl x509 -req -in kubelet.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out kubelet.pem -days 3650 -extensions v3_req -extfile ca-config.json
颁发证书
在证书生成后,将 kube-api-server.pem、kube-api-server-key.pem、kubelet.pem、kubelet-key.pem、ca.pem 复制到对应的目录中即可。下面是复制命令:
mkdir /etc/kubernetes/certs cp ca.pem /etc/kubernetes/certs/ cp apiserver.pem /etc/kubernetes/certs/ cp apiserver-key.pem /etc/kubernetes/certs/ cp kubelet.pem /etc/kubernetes/certs/ cp kubelet-key.pem /etc/kubernetes/certs/
更新证书
当证书过期或是需要更新证书时,需要重新生成证书并在集群中更新证书。下面是更新证书的具体步骤。
首先,重新生成对应的证书,然后将新的证书和私钥复制到对应的目录中。
然后,重启组件,使其使用新的证书。下面是重启命令:
systemctl restart kube-apiserver kube-controller-manager kube-scheduler systemctl restart kubelet
在更新证书时,需要注意不能使用 kubeadm init 命令重新初始化集群,否则会将集群销毁,需要重新安装集群。
证书续订
证书有一定的有效期,过期后需要重新生成证书。对于 Kubernetes 集群证书,可以使用 cert-manager 进行自动续订,避免证书过期。
cert-manager 可以通过简单的配置,为 Kubernetes 集群管理证书,并可以在到期前自动进行证书续订,简化了证书管理的过程。如果要了解更多关于 cert-manager 的信息,请参考官方文档。
总结
本文主要介绍了如何在 Kubernetes 集群中管理集群证书,包括生成证书、更新证书和证书续订等操作。证书管理是 Kubernetes 集群中比较重要的一部分,需要掌握好。如果您有其他问题,可以参阅相关文档,也可以在 Kubernetes 官方社区寻求帮助。
附:kubernetes 证书保管类脚本
-- -------------------- ---- -------
-----------
------------
-------------------
-- -- -- ---------- --
----
---- ---------- ---- ---- -- ---------
---- -
--
-- -- -- ----------------- --
----
---- ----------- ---- ---- -- ---------
---- -
--
-----------------------
---------------------
---------------- ---
--------------------------
----- -- ----------
--- ----- ----------------------------
-
----- -------------
------ -
------- ------
------- ----
--
-------- -
-
---- -----
---- -----------
---- -------------
----- --------
-
-
-
---
------- ------------------------------ -
------ --------- ----------
------- ------------------------------ -
------ -- ---------------------------
----- -
------------- ------------------------------ -
--- --- --------- -
-- ---------- -
-- ---------------------------
---- ---- - ------ -- - ----------------------
------------------- ------------------------------ -
------ ---- ----- -
-- -------------------------------------------------------------
--- ----- --------------------------
----------- ----------------------
----- -------------------------
---------
----- ---------
---------- ----------
-----
-------
- --------------------
-------- ----- ---------------------- - ------ - -- -- -----
-------
- ------- ---------
- --- ------------
- ------ ----
---
------- ------------------------------ -
------ -- -------------------------
----- -
-------------- ------------------------------ -
--- --- --------- -
-- ---------- -
-- ---------------------------------
---- ----- - ------ -- - ------------------
------- ------------------------------ -
----- ------ -------------- -
-- ---------- -
------------- -
----------- ------ ------- ---------------- ------------------ ----------------------------- ------ ------- ---------------- ------------------ ----------------------------------- --------------- ------------------------------ - ---------
------- ------------------------------ -
------ --- --------- -
-- ---------- - ---------
------- ------------------------------ -
------ -- --------------------------- - ---------
------- ------------------------------ -
------ -- ------------------------- - ---------
将以上脚本保存为 bash 文件,并且添加sudo权限后使用即可。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/653a608a7d4982a6eb45e74f