2. 程式人生 > >Kubernetes安裝之證書驗證_Kubernetes中文社群

Kubernetes安裝之證書驗證_Kubernetes中文社群

阿新 發佈:2018-12-27

前言

Kubernentes中的身份驗證

kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書;

生成的 CA 證書和祕鑰檔案如下:

  • ca-key.pem
  • ca.pem
  • kubernetes-key.pem
  • kubernetes.pem
  • kube-proxy.pem
  • kube-proxy-key.pem
  • admin.pem
  • admin-key.pem

使用證書的元件如下:

  • etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
  • kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
  • kubelet:使用 ca.pem;
  • kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
  • kubectl:使用 ca.pem、admin-key.pem、admin.pem;

kube-controllerkube-scheduler 當前需要和 kube-apiserver 部署在同一臺機器上且使用非安全埠通訊,故不需要證書。

安裝 CFSSL

方式一:直接使用二進位制原始碼包安裝

$ wget https://pkg.cfssl.org/R1.2
 
/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl

$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson

$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo
 
 mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo

$ export PATH=/root/local/bin:$PATH

方式二:使用go命令安裝

我們的系統中安裝了Go1.7.5,使用以下命令安裝更快捷:

$go get -u github.com/cloudflare/cfssl/cmd/...
$echo $GOPATH
/usr/local
$ls /usr/local/bin/cfssl*
cfssl cfssl-bundle cfssl-certinfo cfssljson cfssl-newkey cfssl-scan

$GOPATH/bin目錄下得到以cfssl開頭的幾個命令。

建立 CA 配置檔案

$ mkdir /root/ssl
$ cd /root/ssl
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json
$ cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}

欄位說明

  • ca-config.json:可以定義多個 profiles,分別指定不同的過期時間、使用場景等引數;後續在簽名證書時使用某個 profile;
  • signing:表示該證書可用於簽名其它證書;生成的 ca.pem 證書中 CA=TRUE
  • server auth:表示client可以用該 CA 對server提供的證書進行驗證;
  • client auth:表示server可以用該CA對client提供的證書進行驗證;

建立 CA 證書籤名請求

$ cat ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
  • “CN”:Common Name,kube-apiserver 從證書中提取該欄位作為請求的使用者名稱 (User Name);瀏覽器使用該欄位驗證網站是否合法;
  • “O”:Organization,kube-apiserver 從證書中提取該欄位作為請求使用者所屬的組 (Group);

生成 CA 證書和私鑰

$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

建立 Kubernetes 證書

建立 kubernetes 證書籤名請求

$ cat kubernetes-csr.json
{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "172.20.0.112",
      "172.20.0.113",
      "172.20.0.114",
      "172.20.0.115",
      "10.254.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "BeiJing",
            "L": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
  • 如果 hosts 欄位不為空則需要指定授權使用該證書的 IP 或域名列表,由於該證書後續被 etcd 叢集和 kubernetes master 叢集使用,所以上面分別指定了 etcd 叢集、kubernetes master 叢集的主機 IP 和 kubernetes 服務的服務 IP(一般是 kue-apiserver 指定的 service-cluster-ip-range 網段的第一個IP,如 10.254.0.1。

生成 kubernetes 證書和私鑰

$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
$ ls kuberntes*
kubernetes.csr  kubernetes-csr.json  kubernetes-key.pem  kubernetes.pem

或者直接在命令列上指定相關引數:

$ echo '{"CN":"kubernetes","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes -hostname="127.0.0.1,10.64.3.7,10.254.0.1,kubernetes,kubernetes.default" - | cfssljson -bare kubernetes

建立 Admin 證書

建立 admin 證書籤名請求

$ cat admin-csr.json
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
  • 後續 kube-apiserver 使用 RBAC 對客戶端(如 kubeletkube-proxyPod)請求進行授權;
  • kube-apiserver 預定義了一些 RBAC 使用的 RoleBindings,如 cluster-admin 將 Groupsystem:masters 與 Role cluster-admin 繫結,該 Role 授予了呼叫kube-apiserver所有 API的許可權;
  • OU 指定該證書的 Group 為 system:masterskubelet 使用該證書訪問 kube-apiserver時 ,由於證書被 CA 簽名,所以認證通過,同時由於證書使用者組為經過預授權的system:masters,所以被授予訪問所有 API 的許可權;

生成 admin 證書和私鑰

$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
$ ls admin*
admin.csr  admin-csr.json  admin-key.pem  admin.pem

建立 Kube-Proxy 證書

建立 kube-proxy 證書籤名請求

$ cat kube-proxy-csr.json
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
  • CN 指定該證書的 User 為 system:kube-proxy
  • kube-apiserver 預定義的 RoleBinding cluster-admin 將User system:kube-proxy 與 Rolesystem:node-proxier 繫結,該 Role 授予了呼叫 kube-apiserver Proxy 相關 API 的許可權;

生成 kube-proxy 客戶端證書和私鑰

$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes  kube-proxy-csr.json | cfssljson -bare kube-proxy
$ ls kube-proxy*
kube-proxy.csr  kube-proxy-csr.json  kube-proxy-key.pem  kube-proxy.pem

校驗證書

以 kubernetes 證書為例

使用 Opsnssl 命令

$ openssl x509  -noout -text -in  kubernetes.pem
...
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes
        Validity
            Not Before: Apr  5 05:36:00 2017 GMT
            Not After : Apr  5 05:36:00 2018 GMT
        Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
...
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier:
                DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0
            X509v3 Authority Key Identifier:
                keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD

            X509v3 Subject Alternative Name:
                DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:172.20.0.112, IP Address:172.20.0.113, IP Address:172.20.0.114, IP Address:172.20.0.115, IP Address:10.254.0.1
...
  • 確認 Issuer 欄位的內容和 ca-csr.json 一致;
  • 確認 Subject 欄位的內容和 kubernetes-csr.json 一致;
  • 確認 X509v3 Subject Alternative Name 欄位的內容和 kubernetes-csr.json 一致;
  • 確認 X509v3 Key Usage、Extended Key Usage 欄位的內容和 ca-config.jsonkubernetesprofile 一致;

使用 Cfssl-Certinfo 命令

$ cfssl-certinfo -cert kubernetes.pem
...
{
  "subject": {
    "common_name": "kubernetes",
    "country": "CN",
    "organization": "k8s",
    "organizational_unit": "System",
    "locality": "BeiJing",
    "province": "BeiJing",
    "names": [
      "CN",
      "BeiJing",
      "BeiJing",
      "k8s",
      "System",
      "kubernetes"
    ]
  },
  "issuer": {
    "common_name": "Kubernetes",
    "country": "CN",
    "organization": "k8s",
    "organizational_unit": "System",
    "locality": "BeiJing",
    "province": "BeiJing",
    "names": [
      "CN",
      "BeiJing",
      "BeiJing",
      "k8s",
      "System",
      "Kubernetes"
    ]
  },
  "serial_number": "174360492872423263473151971632292895707129022309",
  "sans": [
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local",
    "127.0.0.1",
    "10.64.3.7",
    "10.254.0.1"
  ],
  "not_before": "2017-04-05T05:36:00Z",
  "not_after": "2018-04-05T05:36:00Z",
  "sigalg": "SHA256WithRSA",
...

分發證書

將生成的證書和祕鑰檔案(字尾名為.pem)拷貝到所有機器的 /etc/kubernetes/ssl 目錄下備用;

$ sudo mkdir -p /etc/kubernetes/ssl
$ sudo cp *.pem /etc/kubernetes/ssl

參考

相關推薦

Kubernetes安裝證書驗證_Kubernetes中文社群

前言 Kubernentes中的身份驗證 kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書; 生成的 CA 證書和祕鑰檔案如下:

Kubernetes安裝證書驗證

Kubernentes中的身份驗證 kubernetes 系統的各元件需要使用 TLS 證書對通訊進行加密,本文件使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書; 生成的 CA 證書和祕鑰檔案如下:

Kubernetes v1.10.x HA 全手動安裝教程(TL;DR)_Kubernetes中文社群

本篇延續過往手動安裝方式來部署 Kubernetes v1.10.x 版本的 High Availability 叢集,主要目的是學習 Kubernetes 安裝的一些元件關析與流程。若不想這麼累的話,可以參考 Picking the Right Solution 來選擇自己最喜歡的方式。 本

KubernetesPod排程_Kubernetes中文社群

【編者的話】Kubernetes排程器根據特定的演算法與策略將pod排程到工作節點上。在預設情況下,Kubernetes排程器可以滿足絕大多數需求,例如排程pod到資源充足的節點上執行,或排程pod分散到不同節點使叢集節點資源均衡等。但一些特殊的場景,預設排程演算法策略並不能滿足實際需求,例如

Kubernetes證書認證_Kubernetes中文社群

今天讓我們聊聊 Kubernetes 的公私鑰和證書認證。 本文內容會提及如何根據需要對 CA、公私鑰進行組織並對叢集進行設定。 Kubernetes 的元件中有很多不同的地方可以放置證書之類的東西。在進行叢集安裝的時候,我感覺有一百多億個不同的命令引數是用來設定證書、金鑰的,真不明白是怎麼弄

kubernetes上部署consul叢集_Kubernetes中文社群

本教程將幫助你在kubernetes上部署一個擁有3個節點的consul叢集 備註:consul教程見Consul; 預覽 預備知識 本教程利用了Kubernetes 1.7.0和更高版本的特性. 下客戶端必須安裝在本教程所使用的機器上: 使用 Clone this repo: git

搜狗BizCloud:基於Kubernetes的私有云實踐_Kubernetes中文社群

【編者的話】隨著搜狗業務的快速增長,需要更有效地控制成本,提升研發效率,我們基於Docker和Kubernetes構建了一站式私有云管理平臺——BizCloud,此平臺涵蓋服務管理、彈性伸縮、灰度釋出、自動運維、持續整合等功能。本文將簡要介紹BizCloud的設計思路、架構及服務發現、授權、灰

江湖路遠,Kubernetes 版圖擴張全記錄_Kubernetes中文社群

今天的這個故事出自“江湖”,一半關於各路豪傑的江湖紛爭、聚合反目;另一半關於 Kubernetes 從初出茅廬到異軍突起走過的蛻變之路。 “ 如果有一個 workload 到了亞馬遜那兒,你們就完了!” 2013 年,VMware 公司執行長 Pat Gelsinger 在公司的合作伙伴交流大

BoCloud博雲獲得CNCF Kubernetes服務提供商認證_Kubernetes中文社群

近日,BoCloud博雲正式獲得 CNCF 和 Linux 基金認證的 Kubernetes 服務提供商資質(KCSP),此認證證明BoCloud博雲在 Kubernetes 社群從事活動(包括積極貢獻程式碼)、支援企業終端使用者的商業模式、以及將工程師派駐客戶現場這三面具有相應的技術實力。

Kubernetes儲存機制的實現_Kubernetes中文社群

由於容器的使用壽命短,當遷移的應用程式從開發到生產環境時候,開發人員面臨著巨大的挑戰。當容器掛掉或崩潰時,任何與之相關的資料都會丟失。為了解決這個問題引發的資料丟失,我們需要將資料儲存持久化磁碟(PD),也可以稱為卷。資料可以通過容器中斷事件被寫入一個容器外的持久化磁碟。當與POD一起工作時,

基於 Kubernetes 的 AI 訓練實踐_Kubernetes中文社群

2017 China KEUC(Kubernetes End User Conference)秉承開放協作、技術共享的宗旨,致力於為業界帶來最新 Kubernetes 技術、行業應用案例展示與最佳實踐,同時將中國已有的優秀實踐經驗推廣到全球,這對於 Kubernetes 從理論到落地推廣、並走

基於Jenkins和Kubernetes的CI工作流_Kubernetes中文社群

摘要 Jenkins作為最為流行的持續整合工具,在結合使用容器技術, Kubernetes 叢集的基礎上, 該如何發揮出新的能力, 在應用微服務化的基礎上, 提供更好的CI方式, 值得我們每一個開發人員去持續不斷的摸索. 本次分享主要介紹我司如何使用Jenkins Pipeline, Cont

Kubernetes中使用Node授權_Kubernetes中文社群

Node授權是一種特殊授權模式,專門授權由kubelet訪問的API請求。 概述 Node授權器允許kubelet執行的API操作包括: 讀: services endpoints nodes pods secrets, configmaps, persistent volume claim

是時候使用Helm了:Helm, Kubernetes的包管理工具_Kubernetes中文社群

目前我們的一個產品共有4套環境:dev環境、test環境、staging環境、production環境。 其中dev, test, staging環境在一個Kubernetes叢集上以不同namespace部署,production環境部署在另一個Kubernetes叢集上。這個產品總共有14

CNCF基金會的Certified Kubernetes Administrator認證考試計劃_Kubernetes中文社群

最近筆者花了些時間完成了CNCF官方基金會推出的CKA(Certified Kubernetes Administrator)認證考試,這邊文章就簡單說一下CKA認證考試是撒,考試的大致過程以及參加考試一些準備過程。 更多詳細資訊,請參考本文末尾的參考資料部分的CKA candidate ha

Fission:基於 Kubernetes 的 Serverless 函式框架_Kubernetes中文社群

本文編譯自 Kubernetes 的官方博文,原文為 Platform9 的軟體工程師 Soam Vasani 所寫,講解了一個基於 Kubernetes 的 Serverless 函式(FaaS)框架——Fission。 簡單的來講,Fission 是一個構建在 Kubernetes 之上的

應用開發者必須瞭解的Kubernetes網路二三事_Kubernetes中文社群

在容器領域內,Kubernetes已毋庸置疑成為了容器編排和管理的社群標準。如果你希望你所搭建的應用程式能充分利用多雲(multi-cloud)的優勢,有一些與Kubernetes網路相關的基本內容是你必須瞭解與考慮的。 Kubernetes網路基本的部署排程單元:Pod Kubernetes

中國移動一級業務支撐系統多Kubernetes叢集PaaS平臺實踐_Kubernetes中文社群

背景 中國移動一級業務支撐系統是整個中國移動的集中管理和一點對外的門戶,包括網狀網、BBOSS、一級營銷、內容計費、一級客服、VGOP、電渠等多個業務支撐系統,各系統呈煙囪化建設。在小型機時代由於主機整合度高、效能穩定因此數量較少,多專案叢集建設、運維尚能保持平穩。但隨著系統X86化逐步推進,

使用Netsil監控Kubernetes上的微服務_Kubernetes中文社群

Kubernetes是容器編排和排程領域的王者,它擊敗了競爭對手Docker Swarm和Apache Mesos,開啟了閃耀的未來,微服務可以自修復,可以自動擴充套件,可以跨zone,region甚至跨雲供應商進行federate。在這樣的雲原生應用程式的新紀元裡,能夠以簡單的方式洞察服務之

谷歌大神詳解 Kubernetes 配置管理最佳方法_Kubernetes中文社群

於夢琦 / 美國谷歌軟體工程師 嘉賓介紹: 美國谷歌 Kubernetes/Google Container Engine(GKE)組核心成員,主要從事CLI(kubectl)開發以及配置管理的研究與開發。 本科和碩士分別畢業於上海交通大學和 UCSD 大家好!我是來自谷歌的於夢琦。今天我來