我的书签
添加书签
移除书签管理集群中的 TLS 认证
certificates.k8s.io API使用的协议类似于 。
你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:
要获知版本信息,请输入 kubectl version.
集群中的 TLS 信任
信任 Pod 中运行的应用程序所提供的 CA 通常需要一些额外的应用程序配置。 你需要将 CA 证书包添加到 TLS 客户端或服务器信任的 CA 证书列表中。 例如,你可以使用 Golang TLS 配置通过解析证书链并将解析的证书添加到 结构中的 RootCAs 字段中。
你可以用你的应用能够访问到的 ConfigMap 的形式来发布 CA 证书。
请求证书
说明: 本教程使用 CFSSL:Cloudflare’s PKI 和 TLS 工具包 了解更多信息。
本例中使用的 cfssl 工具可以在 https://pkg.cfssl.org/ 下载。
创建证书签名请求
通过运行以下命令生成私钥和证书签名请求(或 CSR):
其中 192.0.2.24 是服务的集群 IP,my-svc.my-namespace.svc.cluster.local 是服务的 DNS 名称,10.0.34.2 是 Pod 的 IP,而 my-pod.my-namespace.pod.cluster.local 是 Pod 的 DNS 名称。 你能看到以下的输出:
2017/03/21 06:48:17 [INFO] received CSR2017/03/21 06:48:17 [INFO] encoded CSR
此命令生成两个文件;它生成包含 PEM 编码 证书请求的 server.csr, 以及 PEM 编码密钥的 server-key.pem,用于待生成的证书。
创建证书签名请求对象发送到 Kubernetes API
使用以下命令创建 CSR YAML 文件,并发送到 API 服务器:
请注意,在步骤 1 中创建的 server.csr 文件是 base64 编码并存储在 .spec.request 字段中的。我们还要求提供 “digital signature(数字签名)”, “密钥加密(key encipherment)” 和 “服务器身份验证(server auth)” 密钥用途, 由 kubernetes.io/kubelet-serving 签名程序签名的证书。 你也可以要求使用特定的 signerName。更多信息可参阅 支持的签署者名称。
批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次性完成。 有关这方面涉及的更多信息,请参见下文。
下载证书并使用它
CSR 被签署并获得批准后,你应该看到以下内容:
kubectl get csr
你可以通过运行以下命令下载颁发的证书并将其保存到 server.crt 文件中:
kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \| base64 --decode > server.crt
现在你可以将 server.crt 和 server-key.pem 作为键值对来启动 HTTPS 服务器。
批准证书签名请求
Kubernetes 管理员(具有适当权限)可以使用 kubectl certificate approve 和 kubectl certificate deny 命令手动批准(或拒绝)证书签名请求。 但是,如果你打算大量使用此 API,则可以考虑编写自动化的证书控制器。
无论上述机器或人使用 kubectl,批准者的作用是验证 CSR 满足如下两个要求:
- CSR 的 subject 控制用于签署 CSR 的私钥。这解决了伪装成授权主体的第三方的威胁。 在上述示例中,此步骤将验证该 Pod 控制了用于生成 CSR 的私钥。
- CSR 的 subject 被授权在请求的上下文中执行。 这点用于处理不期望的主体被加入集群的威胁。 在上述示例中,此步骤将是验证该 Pod 是否被允许加入到所请求的服务中。
当且仅当满足这两个要求时,审批者应该批准 CSR,否则拒绝 CSR。
给集群管理员的一个建议
本教程假设已经为 certificates API 配置了签名者。Kubernetes 控制器管理器 提供了一个签名者的默认实现。要启用它,请为控制器管理器设置 --cluster-signing-cert-file 和 参数, 使之取值为你的证书机构的密钥对的路径。
