2. 程式人生 > 其它 >k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

阿新 發佈:2022-04-10

k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

概述

當k8s叢集開啟了TLS認證後,每個節點的kubelet元件都要使用由kube-apiserver的CA簽發的有效證書才能與kube-apiserver通訊;當節點非常多的時候,為每個節點都單獨簽署證書是一件非常繁瑣而又耗時的事情。

此時k8s TLS bootstrap功能應運而生。

k8s TLS bootstrap功能就是讓kubelet先使用一個預先商定好的低許可權的bootstrap token連線到kube-apiserver,向kube-apiserver申請證書,然後kube-controller-manager給kubelet動態簽署證書,後續kubelet都將通過動態簽署的證書與kube-apiserver通訊。

TLS bootstrap涉及元件相關引數

1.kube-apiserver

(1)--client-ca-file:認證客戶端證書的CA證書;

(2)--enable-bootstrap-token-auth:設定為true則代表開啟TLS bootstrap特性;

2.kube-controller-manager

(1)--cluster-signing-cert-file--cluster-signing-key-file:用來簽發kubelet證書的CA證書和私鑰,這裡的kubelet證書指的是用來跟kube-apiserver通訊,kube-apiserver認證kubelet身份的證書,所以--cluster-signing-cert-file指定的值與kube-apiserver的--client-ca-file指定值一致,而私鑰則也是對應的私鑰;

(2)--cluster-signing-duration:簽發給kubelet的證書有效期;

3.kubelet

(1)--bootstrap-kubeconfig:TLS bootstrap的配置檔案,檔案中一般包含bootstrap token和master url等資訊;

(2)--kubeconfig:在kubelet的CSR被批覆並被kubelet取回時,一個引用所生成的金鑰和所獲得證書的kubeconfig檔案會被寫入到通過 --kubeconfig所指定的檔案路徑下,而證書和金鑰檔案會被放到--cert-dir所指定的目錄中;

(3)--rotate-certificates

:開啟證書輪換,kubelet在其現有證書即將過期時通過建立新的CSR來輪換其客戶端證書。

詳細流程解析

下面以kubeadm使用k8s TLS bootstrap將一個node節點加入已有的master為例,對TLS bootstrap部分進行詳細流程解析。

1.RBAC相關操作

(1)生成bootstrap token,建立bootstrap token secret;

bootstrap token secret模板:

apiVersion: v1
data:
  auth-extra-groups: system:bootstrappers:kubeadm:default-node-token
  expiration: 2022-04-03T11:13:09+08:00
  token-id: {token-id}
  token-secret: {token-secret}
  usage-bootstrap-authentication: "true"
  usage-bootstrap-signing: "true"
kind: Secret
metadata:
  name: bootstrap-token-{token-id}
  namespace: kube-system
type: bootstrap.kubernetes.io/token

關於bootstrap token secret相關的格式說明:

secret的name格式為bootstrap-token-{token-id}的格式;
secret的type固定為bootstrap.kubernetes.io/token
secret data中的token-id為6位數字字母組合字串,token-secret為16位數字字母組合字串;
secret data中的auth-extra-groups定義了bootstrap token所代表使用者所屬的的group,kubeadm使用了system:bootstrappers:kubeadm:default-node-token
secret所對應的bootstrap token為{token-id}.{token-secret}

bootstrap token secret示例:

apiVersion: v1
data:
  auth-extra-groups: system:bootstrappers:kubeadm:default-node-token
  expiration: 2022-04-03T11:13:09+08:00
  token-id: abcdef
  token-secret: 0123456789abcdef
  usage-bootstrap-authentication: "true"
  usage-bootstrap-signing: "true"
kind: Secret
metadata:
  name: bootstrap-token-abcdef
  namespace: kube-system
type: bootstrap.kubernetes.io/token

上述secret示例中,kubeadm生成的bootstrap token為abcdef.0123456789abcdef,其代表的使用者所在使用者組為system:bootstrappers:kubeadm:default-node-token

(2)授予bootstrap token建立CSR證書籤名請求的許可權,即授予kubelet建立CSR證書籤名請求的許可權;

即建立ClusterRoleBinding -- kubeadm:kubelet-bootstrap

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeadm:kubelet-bootstrap
  ...
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node-bootstrapper
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:bootstrappers:kubeadm:default-node-token

kubeadm生成的bootstrap token所代表的使用者所在使用者組為system:bootstrappers:kubeadm:default-node-token,所以這裡繫結許可權的時候將許可權繫結給了使用者組system:bootstrappers:kubeadm:default-node-token

接下來看下被授予的許可權ClusterRole -- system:node-bootstrapper

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: system:node-bootstrapper
  ...
rules:
- apiGroups:
  - certificates.k8s.io
  resources:
  - certificatesigningrequests
  verbs:
  - create
  - get
  - list
  - watch

(3)授予bootstrap token許可權,讓kube-controller-manager可以自動審批其發起的CSR;

即建立ClusterRoleBinding -- kubeadm:node-autoapprove-bootstrap

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeadm:node-autoapprove-bootstrap
  ...
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:bootstrappers:kubeadm:default-node-token

kubeadm生成的bootstrap token所代表的使用者所在使用者組為system:bootstrappers:kubeadm:default-node-token,所以這裡繫結許可權的時候將許可權繫結給了使用者組system:bootstrappers:kubeadm:default-node-token

接下來看下被授予的許可權ClusterRole -- system:certificates.k8s.io:certificatesigningrequests:nodeclient

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
  ...
rules:
- apiGroups:
  - certificates.k8s.io
  resources:
  - certificatesigningrequests/nodeclient
  verbs:
  - create

(4)授予kubelet許可權,讓kube-controller-manager自動批覆kubelet的證書輪換請求;

即建立ClusterRoleBinding -- kubeadm:node-autoapprove-certificate-rotation

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubeadm:node-autoapprove-certificate-rotation
  ...
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:nodes

kubelet建立的CSR使用者名稱格式為system:node:<name>,使用者組為system:nodes,所以kube-controller-manager為kubelet生成的證書所代表的使用者所在使用者組為system:nodes,所以這裡繫結許可權的時候將許可權繫結給了使用者組system:nodes

接下來看下被授予的許可權ClusterRole -- system:certificates.k8s.io:certificatesigningrequests:selfnodeclient

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: system:certificates.k8s.io:certificatesigningrequests:selfnodeclient
  ...
rules:
- apiGroups:
  - certificates.k8s.io
  resources:
  - certificatesigningrequests/selfnodeclient
  verbs:
  - create

2.啟動kubelet,開始TLS bootstrap

(0)根據bootstrap token以及master url等資訊生成bootstrap-kubeconfig檔案;

(1)啟動kubelet,配置了kubeconfig檔案目錄,但kubeconfig檔案為空,再指定bootstrap-kubeconfig檔案為上述步驟生成的bootstrap-kubeconfig檔案;

(2)kubelet發現配置的kubeconfig檔案為空,則載入bootstrap-kubeconfig檔案,讀取其中的bootstrap token以及master url;

(3)kubelet使用bootstrap token與apiserver通訊,建立CSR證書籤名請求;

(4)kube-controller-manager批覆CSR證書籤名請求,為其簽發相關證書;

(5)kubelet取回kube-controller-manager生成的相關證書,預設存放在/var/lib/kubelet/pki 目錄下,然後根據證書生成kubeconfig檔案,後續kubelet將使用該kubeconfig檔案與kube-apiserver進行認證通訊;

# ls /var/lib/kubelet/pki/
kubelet-client-2022-03-18-14-29-00.pem	kubelet-client-current.pem  kubelet.crt  kubelet.key

kubelet-client-current.pem是個軟鏈,指向kubelet-client-2022-03-18-14-29-00.pem檔案,kubelet-client-2022-03-18-14-29-00.pem檔名記錄的是證書建立時間,後續kubelet將會根據證書過期時間,在證書臨過期前向kube-apiserver重新申請證書,然後自動輪換該證書;

# cat /etc/kubernetes/kubelet.conf
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0F...
    server: https://192.168.1.10:6443
  name: test-cluster
contexts:
- context:
    cluster: test-cluster
    user: system:node:test-cluster-node-1
  name: system:node:test-cluster-node-1
current-context: system:node:test-cluster-node-1
kind: Config
preferences: {}
users:
- name: system:node:test-cluster-node-1
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet-client-current.pem
    client-key: /var/lib/kubelet/pki/kubelet-client-current.pem

3.kubelet自動輪換證書

(1)kubelet在證書接近於過期時自動向kube-apiserver請求更新證書;

(2)kube-controller-manager自動批覆,為其簽發新的證書;

(3)kubelet取回kube-controller-manager生成的相關證書,替換掉本地的舊證書,後續kubelet將使用新證書來與kube-apiserver進行認證通訊;

總結

最後以一幅圖來總結一下k8s TLS bootstrap的整個流程。

相關推薦

k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

k8s TLS bootstrap解析-k8s TLS bootstrap流程分析 概述 當k8s叢集開啟了TLS認證後,每個節點的kubelet元件都要使用由kube-apiserver的CA簽發的有效證書才能與kube-apiserver通訊;當節點非常多的時候,為每個節點都

SSL/TLS協議互動流程分析

本文參考 SSL/TLS協議執行機制的概述 tls執行機制,這裡不細說,建議細看 HTTPS與TLS

k8s-coredns內部解析

我們可以看到有一個明顯的錯誤Could not resolve host: git.k8s.local提示不能解析我們的 GitLab 域名,這是因為我們的域名都是自定義的,我們可以通過在 CoreDNS 中新增自定義域名解析來解決這個問題(如果你的域

kubelet 配置 TLS 客戶端證書啟動引導流程

TLS 啟動引導   在一個 Kubernetes 叢集中,工作節點上的元件(kubelet 和 kube-proxy)需要與 Kubernetes 主控元件通訊,尤其是 kube-apiserver。 為了確保通訊本身是私密的、不被幹擾,並且確保叢集的每個元件

SuperMap iManager for K8S 刪除舊環境修改NFS地址流程

一、完整刪除SuperMap iManager 找到SuperMap iManager安裝目錄,執行: ./shutdown.sh -v 二、修改NFS儲存路徑

Spring解析Xml註冊Bean流程

有道無術,術可求; 有術無道,止於術; 讀原始碼是一個很枯燥的過程,但是Spring原始碼裡面有很多值得學習的地方

Python優秀開源專案Rich原始碼解析流程分析

這篇文章對優秀的開源專案Rich的原始碼進行解析,OMG,盤他。為什麼建議閱讀原始碼,有兩個原因,第一,單純學語言很難在實踐中靈活應用,通過閱讀原始碼可以看到每個知識點的運用場景,印象會更深,以後寫程式碼的時

解析SpringSecurity+JWT認證流程實現

紙上得來終覺淺,覺知此事要躬行。 楔子 本文適合:對Spring Security有一點了解或者跑過簡單demo但是對整體執行流程不明白的同學,對SpringSecurity有興趣的也可以當作你們的入門教程,示例程式碼中也有很多註釋。

k8s極簡史:K8s多叢集技術發展的歷史、現狀與未來

引子 隨著雲原生技術的普及,越來越多的企業使用Kubernetes來管理應用,並且叢集規模也呈爆發式增長,企業也亟需應對隨叢集規模增長而帶來的各種挑戰。同時,為了更好地提供高可用、彈性伸縮的應用,企業也對容器混合

Angular引用全域性scss,如按需引用bootstrap部分樣式,配合bootstrap的柵格化使用

個人平時用螞蟻的 NG-ZORRO 元件庫,並且也提供了\"ng-row\"和\"ng-col\",但是有些場景沒有bootstrap靈活,比如一個row中除了固定寬度的col,其他col需要佔滿剩餘的空間時使用NG-ZOEEO就不太靈活,但是使用bootstra

flask 原始碼解析:應用啟動流程

WSGI 所有的 python web 框架都要遵循 WSGI 協議 在這裡還是要簡單回顧一下 WSGI 的核心概念。

小白學k8s--(1)二進位制部署k8s

二進位制部署k8s 前言 準備工作 關閉防火牆 關閉 swap 分割槽 關閉 SELinux 更新系統時間

k8s-elastic(利用k8s部署elk叢集)版本升級記錄(v6.5.1 -> v7.2.0)

背景 隨著elk版本不斷升級,特別是4月份es出了7.0大版本,到最近的7.2.0小版本,有了很多實用新功能,這邊準備進行升級。

k8s第二回之k8s叢集的安裝

k8s 1. k8s叢集的安裝 Kubernetes借鑑了Borg的設計理念,比如Pod、Service、Labels和單Pod單IP等。Kubernetes的整體架構跟Borg非常像,如下圖所示:

bootstrap table中使用bootstrap-swich

這個外掛有坑!!! 載入需要檔案 <script src=\"~/Scripts/bootstrap-switch.js\"></script><link href=\"~/Content/bootstrap-switch.css\" rel=\"stylesheet\" />

django rest framework系列10-解析器以及原始碼流程附加django解析

技術標籤:Django rest framework 一、Django解析器 1、之前我們使用Django時用個request.body和request.POST.

內網伺服器加入k8s叢集中——部署k8s叢集

技術標籤:kuberneteslinux網路運維 採用kubeadm快速部署,如果使用原始碼包部署需用注意多網絡卡的配置。 一、環境準備

react原始碼解析12.狀態更新流程

react原始碼解析12.狀態更新流程 視訊課程(高效學習):進入課程 課程目錄:

Vue.js原始碼解析-Vue初始化流程

目錄前言1. 初始化流程概述圖、程式碼流程圖1.1 初始化流程概述1.2 初始化程式碼執行流程圖2. 初始化相關程式碼分析2.1 initGlobalAPI(Vue) 初始化Vue的全域性靜態API2.2 定義Vue建構函式、例項方法2.3 new Vue(opti

原始碼解析Java Attach處理流程

當Java程式執行時出現CPU負載高、記憶體佔用大等異常情況時,通常需要使用JDK自帶的工具jstack、jmap檢視JVM的執行時資料,並進行分析