PKI 证书和需求
Kubernetes 需要 PKI 证书才能通过 TLS 进行身份验证。如果使用 kubeadm 安装 Kubernetes,集群所需的证书会被自动生成。 您还可以生成自己的证书——例如,通过不将私钥保存在 API 服务器上,来更安全地保护它们。。 此页面说明了集群所需的证书。
集群如何使用证书
Kubernetes 在执行以下操作时需要相应的证书:
- 客户端证书,供 kubelet 访问 API 服务器时的身份验证使用
- API 服务器端点的服务器证书
- 客户端证书,供集群管理员访问 API 服务器时的身份验证之用
- API 服务器与 kubelet 通信所需的客户端证书
- API 服务器与 etcd 通信所需的客户端证书
- 客户端证书/kubeconfig,供控制器管理器与 API 服务器通信
- 客户端证书/kubeconfig,供调度器与 API 服务器通信。
- front-proxy 的客户端和服务器证书
Note:仅在您使用 kube-proxy 来支持 一个扩展 API 服务器 时才需要
front-proxy证书。
etcd 还实现了双向 TLS 来验证客户端和对等端。
证书在何处存储
如果使用 kubeadm 安装 Kubernetes,证书将存储在 /etc/kubernetes/pki 目录中。 本文档中的所有路径,都是与该目录的相对路径。
手动配置证书
如果您不希望 kubeadm 生成所需的证书,可以使用以下任一方法创建它们。
单个 root CA
您可以创建一个由管理员控制的单个 root CA。然后,此 root CA 可以创建多个中间 CA,并委托 Kubernetes 本身完成后续创建操作。
所需 CA:
| 路径 | 默认 CN | 描述 |
|---|---|---|
| ca.crt,key | kubernetes-ca | Kubernetes 通用 CA |
| etcd/ca.crt,key | etcd-ca | 所有 etcd 相关操作 |
| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | 供 front-end proxy 使用 |
所有证书
如果您不希望将这些私钥复制到 API 服务器,您可以自己生成所有证书。
所需证书:
| 默认 CN | 父 CA | O (in Subject) | 种类 | 主机 (SAN) |
|---|---|---|---|---|
| kube-etcd | etcd-ca | server, client [1][etcdbug] | localhost, 127.0.0.1 |
|
| kube-etcd-peer | etcd-ca | server, client | <hostname>, <Host_IP>, localhost, 127.0.0.1 |
|
| kube-etcd-healthcheck-client | etcd-ca | client | ||
| kube-apiserver-etcd-client | etcd-ca | system:masters | client | |
| kube-apiserver | kubernetes-ca | server | <hostname>, <Host_IP>, <advertise_IP>, [1] |
|
| kube-apiserver-kubelet-client | kubernetes-ca | system:masters | client | |
| front-proxy-client | kubernetes-front-proxy-ca | client |
[1]: kubernetes, kubernetes.default, kubernetes.default.svc, kubernetes.default.svc.cluster, kubernetes.default.svc.cluster.local
kind 映射到一个或多个 x509 key usage 类型上
| 种类 | 密钥用途 |
|---|---|
| server | 数字签名,密钥加密,服务器鉴权 |
| client | 数字签名,密钥加密,客户端鉴权 |
证书路径
证书应放置在推荐路径 (类似 kubeadm 中指定的)。无论位置如何,都应使用给定的参数指定路径。
| 默认 CN | 建议密钥路径 | 建议 cert 路径 | 命令 | 密钥参数 | cert 参数 |
|---|---|---|---|---|---|
| etcd-ca | etcd/ca.crt | kube-apiserver | –etcd-cafile | ||
| etcd-client | apiserver-etcd-client.crt | apiserver-etcd-client.crt | kube-apiserver | –etcd-certfile | –etcd-keyfile |
| kubernetes-ca | ca.crt | kube-apiserver | –client-ca-file | ||
| kube-apiserver | apiserver.crt | apiserver.key | kube-apiserver | –tls-cert-file | –tls-private-key |
| apiserver-kubelet-client | apiserver-kubelet-client.crt | kube-apiserver | –kubelet-client-certificate | ||
| front-proxy-client | front-proxy-client.key | front-proxy-client.crt | kube-apiserver | –proxy-client-cert-file | –proxy-client-key-file |
| etcd-ca | etcd/ca.crt | etcd | –trusted-ca-file, –peer-trusted-ca-file | ||
| kube-etcd | etcd/server.crt | etcd | –cert-file | ||
| kube-etcd-peer | etcd/peer.key | etcd/peer.crt | etcd | –peer-key-file | –peer-cert-file |
| etcd-ca | etcd/ca.crt | etcdctl2 | –cacert | ||
| kube-etcd-healthcheck-client | etcd/healthcheck-client.key | etcd/healthcheck-client.crt | etcdctl2 | –key | –cert |
为用户帐户配置证书
您必须手动配置这些管理员帐户和服务帐户:
| 文件名 | 凭据名 | 默认 | O (in Subject) |
|---|---|---|---|
| admin.conf | default-admin | kubernetes-admin | system:masters |
| kubelet.conf | default-auth | system:node:<nodename> |
system:nodes |
| controller-manager.conf | default-controller-manager | system:kube-controller-manager | |
| scheduler.conf | default-manager | system:kube-scheduler |
对于每个配置,使用给定的 CN 和 O 生成 x509 证书/密钥对。
对于每个配置按如下所示执行
kubectl:KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name> KUBECONFIG=<filename> kubectl config use-context default-system
这些文件用途如下:
| 文件名 | 命令 | 描述 |
|---|---|---|
| admin.conf | kubectl | 配置集群的管理员用户 |
| kubelet.conf | kubelet | 集群中的每个节点都需要一个。 |
| controller-manager.conf | kube-controller-manager | 必须添加到清单 manifests/kube-controller-manager.yaml 中 |
| scheduler.conf | kube-scheduler | 必须添加到清单 manifests/kube-scheduler.yaml 中 |
反馈
此页是否对您有帮助?
Thanks for the feedback. If you have a specific, answerable question about how to use Kubernetes, ask it on Stack Overflow. Open an issue in the GitHub repo if you want to report a problem or suggest an improvement.