阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Kubernetes证书相关(CFSSL)

195次阅读
没有评论

共计 1712 个字符,预计需要花费 5 分钟才能阅读完成。

CFSSL 是 CloudFlare 开源的一款 PKI/TLS 工具。CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑 TLS 证书的 HTTP API 服务。使用 Go 语言编写。

Github 地址:https://github.com/cloudflare/cfssl
官网地址:https://pkg.cfssl.org/
参考地址:https://www.linuxidc.com/Linux/2018-11/155393.htm

curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x /bin/cfssl*

集群相关证书类型

client certificate:用于服务端认证客户端, 例如 etcdctl、etcd proxy、fleetctl、docker 客户端
server certificate: 服务端使用,客户端以此验证服务端身份, 例如 docker 服务端、kube-apiserver
peer certificate: 双向证书,用于 etcd 集群成员间通信

根据认证对象可以将证书分成三类:服务器证书 server cert,客户端证书 client cert,对等证书 peer cert(表示既是 server cert 又是 client cert),在 kubernetes 集群中需要的证书种类如下:

  • etcd 节点需要标识自己服务的 server cert,也需要 client cert 与 etcd 集群其他节点交互,当然可以分别指定 2 个证书,也可以使用一个对等证书
  • master 节点需要标识 apiserver 服务的 server cert,也需要 client cert 连接 etcd 集群,这里也使用一个对等证书
  • kubectl calico kube-proxy 只需要 client cert,因此证书请求中 hosts 字段可以为空
  • kubelet 证书比较特殊,不是手动生成,它由 node 节点 TLS BootStrap 向 apiserver 请求,由 master 节点的 controller-manager 自动签发,包含一个 client cert 和一个 server cert

创建 CA 配置文件

配置证书生成策略,规定 CA 可以颁发那种类型的证书
vim /opt/ssl/k8sca/ca-config.json
{
  “signing”: {
    “default”: {
      “expiry”: “87600h”
    },
    “profiles”: {
      “kubernetes”: {
        “usages”: [
            “signing”,
            “key encipherment”,
            “server auth”,
            “client auth”
        ],
        “expiry”: “87600h”
      }
    }
  }
}

创建 CA 证书签名请求

vim /opt/ssl/k8sca/ ca-csr.json

{
“CN”: “kubernetes”,
“key”: {
    “algo”: “rsa”,
    “size”: 2048
},
“names”: [
    {
        “C”: “CN”,
        “L”: “BeiJing”,
        “O”: “Ctyun”,
        “ST”: “BeiJing”,           
        “OU”: “ops”
    }    ]
}

生成 CA 和私钥

生成 CA 所必需的文件 ca-key.pem(私钥)和 ca.pem(证书),还会生成 ca.csr(证书签名请求),用于交叉签名或重新签名。
$ cd /opt/ssl/k8sca/
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计1712字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中