Kubernetes 需要 PKI 证书才能通过 TLS 进行身份验证。如果使用 kubeadm 安装 Kubernetes,集群所需的证书会被自动生成。 您还可以生成自己的证书——例如,通过不将私钥保存在 API 服务器上,来更安全地保护它们。。 此页面说明了集群所需的证书。
Kubernetes 在执行以下操作时需要相应的证书:
Note:仅在您使用 kube-proxy 来支持 一个扩展 API 服务器 时才需要
front-proxy
证书。
etcd 还实现了双向 TLS 来验证客户端和对等端。
如果使用 kubeadm 安装 Kubernetes,证书将存储在 /etc/kubernetes/pki
目录中。 本文档中的所有路径,都是与该目录的相对路径。
如果您不希望 kubeadm 生成所需的证书,可以使用以下任一方法创建它们。
单个 root CA
您可以创建一个由管理员控制的单个 root CA。然后,此 root CA 可以创建多个中间 CA,并委托 Kubernetes 本身完成后续创建操作。
所需 CA:
路径 | 默认 CN | 描述 |
---|---|---|
ca.crt,key | kubernetes-ca | Kubernetes 通用 CA |
etcd/ca.crt,key | etcd-ca | 所有 etcd 相关操作 |
front-proxy-ca.crt,key | kubernetes-front-proxy-ca | 供 front-end proxy 使用 |
如果您不希望将这些私钥复制到 API 服务器,您可以自己生成所有证书。
所需证书:
默认 CN | 父 CA | O (in Subject) | 种类 | 主机 (SAN) |
---|---|---|---|---|
kube-etcd | etcd-ca | server, client [1][etcdbug] | localhost , 127.0.0.1 |
|
kube-etcd-peer | etcd-ca | server, client | <hostname> , <Host_IP> , localhost , 127.0.0.1 |
|
kube-etcd-healthcheck-client | etcd-ca | client | ||
kube-apiserver-etcd-client | etcd-ca | system:masters | client | |
kube-apiserver | kubernetes-ca | server | <hostname> , <Host_IP> , <advertise_IP> , [1] |
|
kube-apiserver-kubelet-client | kubernetes-ca | system:masters | client | |
front-proxy-client | kubernetes-front-proxy-ca | client |
[1]: kubernetes
, kubernetes.default
, kubernetes.default.svc
, kubernetes.default.svc.cluster
, kubernetes.default.svc.cluster.local
kind
映射到一个或多个 x509 key usage 类型上
种类 | 密钥用途 |
---|---|
server | 数字签名,密钥加密,服务器鉴权 |
client | 数字签名,密钥加密,客户端鉴权 |
证书应放置在推荐路径 (类似 kubeadm 中指定的)。无论位置如何,都应使用给定的参数指定路径。
默认 CN | 建议密钥路径 | 建议 cert 路径 | 命令 | 密钥参数 | cert 参数 |
---|---|---|---|---|---|
etcd-ca | etcd/ca.crt | kube-apiserver | –etcd-cafile | ||
etcd-client | apiserver-etcd-client.crt | apiserver-etcd-client.crt | kube-apiserver | –etcd-certfile | –etcd-keyfile |
kubernetes-ca | ca.crt | kube-apiserver | –client-ca-file | ||
kube-apiserver | apiserver.crt | apiserver.key | kube-apiserver | –tls-cert-file | –tls-private-key |
apiserver-kubelet-client | apiserver-kubelet-client.crt | kube-apiserver | –kubelet-client-certificate | ||
front-proxy-client | front-proxy-client.key | front-proxy-client.crt | kube-apiserver | –proxy-client-cert-file | –proxy-client-key-file |
etcd-ca | etcd/ca.crt | etcd | –trusted-ca-file, –peer-trusted-ca-file | ||
kube-etcd | etcd/server.crt | etcd | –cert-file | ||
kube-etcd-peer | etcd/peer.key | etcd/peer.crt | etcd | –peer-key-file | –peer-cert-file |
etcd-ca | etcd/ca.crt | etcdctl2 | –cacert | ||
kube-etcd-healthcheck-client | etcd/healthcheck-client.key | etcd/healthcheck-client.crt | etcdctl2 | –key | –cert |
您必须手动配置这些管理员帐户和服务帐户:
文件名 | 凭据名 | 默认 | O (in Subject) |
---|---|---|---|
admin.conf | default-admin | kubernetes-admin | system:masters |
kubelet.conf | default-auth | system:node:<nodename> |
system:nodes |
controller-manager.conf | default-controller-manager | system:kube-controller-manager | |
scheduler.conf | default-manager | system:kube-scheduler |
对于每个配置,使用给定的 CN 和 O 生成 x509 证书/密钥对。
对于每个配置按如下所示执行 kubectl
:
KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs
KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs
KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name>
KUBECONFIG=<filename> kubectl config use-context default-system
这些文件用途如下:
文件名 | 命令 | 描述 |
---|---|---|
admin.conf | kubectl | 配置集群的管理员用户 |
kubelet.conf | kubelet | 集群中的每个节点都需要一个。 |
controller-manager.conf | kube-controller-manager | 必须添加到清单 manifests/kube-controller-manager.yaml 中 |
scheduler.conf | kube-scheduler | 必须添加到清单 manifests/kube-scheduler.yaml 中 |
此页是否对您有帮助?
Thanks for the feedback. If you have a specific, answerable question about how to use Kubernetes, ask it on Stack Overflow. Open an issue in the GitHub repo if you want to report a problem or suggest an improvement.