kubernetes需要pki證書才能進行基於tls的身份驗證,如果使用kubeadm安裝的kubernetes,則會自動生成集群所需要的證書。
集群中是如何使用證書:
etcd 還實現了雙向 tls 來對客戶端和對其他對等節點進行身份驗證。
單根ca
可以建立乙個單根ca,有管理員控制它,該ca可以建立多個中間ca,並將所有進一步的建立委託給kubernetes。
需要的以下ca
路徑預設cn
描述ca.crt,key
kubernetes-ca
kubernetes通用ca
etcd/ca.crt,key
etcd-ca
與etcd相關的所有功能
front-proxy/ca.crt,key
kubernetes-front-proxy-ca
用於前端**
所需的所有證書
預設cn
父級ca
o(位於subject中)
型別主機(san)
kube-etcd
etcd-ca
server,client
localhost,127,0.0.1
kube-etcd-peer
etcd-ca
server,client
localhost,127.0.0.1,對等節點ip
kube-etcd-healthcheck-client
etcd-ca
client
kube-apiserver-etcd-client
etcd-ca
system:masters
client
kube-apiserver
kubernetes-ca
server
如下kube-apiserver-kubelet-client
kubernetes-ca
system:masters
client
front-proxy-client
kubernetes-front-proxy-ca
client
用來連線到集群中的不同ip或者dns網域名稱(就像kubeadm為負載均衡所使用的固定ip或dns網域名稱,kubernetes、kubernetes.default、kubernetes.default.svc、kubernetes.default.svc.cluster、kubernetes.default.svc.cluster.local)
證書使用方式及路徑
預設 cn
建議的金鑰路徑
建議的證書路徑
命令金鑰引數
證書引數
k8s使用x509證書中cn(common name)以及o(organization)字段對應k8s中的user和group,將authentication和rbac authorization[15]結合到了一起,巧妙地將control plane中的各個核心user和group、與操作許可權(clusterrole)進行了繫結(clusterrolebinding)
k8s證書自簽筆記
獲取元件 wget wget wget 建立乙個名為tls的資料夾,並將元件檔案移動到該資料夾下,同時新增可習性許可權 建立tls資料夾 mkdir p tls 移動檔案 mv cfssl linux amd64 tls cfssl mv cfssljson linux amd64 tls cfss...
k8s證書過期的處理方法
前言 kubeadm安裝的k8s集群有乙個證書問題,證書的有效期為一年,過期的話kubectl命令就會異常。解決辦法如下 檢視證書是否有效 sudo openssl x509 in etc kubernetes pki apiserver.crt noout text grep not 輸出 not...
k8s中使用到的證書
kubernetes 中使用了大量的證書,本文不會試圖覆蓋到所有可能使用到的證書,但會討論到主要的證書。理解了這些證書的使用方法和原理後,也能很快理解其他可能遇到的證書檔案。下圖標識出了在 kubernetes 中主要使用到的證書和其使用的位置 kubernetes 中使用到的主要證書 上圖中使用序...