我的书签
添加书签
移除书签使用 kubeadm 进行证书管理
由 生成的客户端证书在 1 年后到期。 本页说明如何使用 kubeadm 管理证书续订。
你应该熟悉 Kubernetes 中的 PKI 证书和要求。
使用自定义的证书
默认情况下, kubeadm 会生成运行一个集群所需的全部证书。 你可以通过提供你自己的证书来改变这个行为策略。
如果要这样做, 你必须将证书文件放置在通过 --cert-dir 命令行参数或者 kubeadm 配置中的 CertificatesDir 配置项指明的目录中。默认的值是 /etc/kubernetes/pki。
如果在运行 kubeadm init 之前存在给定的证书和私钥对,kubeadm 将不会重写它们。 例如,这意味着您可以将现有的 CA 复制到 /etc/kubernetes/pki/ca.crt 和 /etc/kubernetes/pki/ca.key 中,而 kubeadm 将使用此 CA 对其余证书进行签名。
外部 CA 模式
只提供了 ca.crt 文件但是不提供 ca.key 文件也是可以的(这只对 CA 根证书可用,其它证书不可用)。 如果所有的其它证书和 kubeconfig 文件已就绪, kubeadm 检测到满足以上条件就会激活 “外部 CA” 模式。kubeadm 将会在没有 CA 密钥文件的情况下继续执行。
否则, kubeadm 将独立运行 controller-manager,附加一个 --controllers=csrsigner 的参数,并且指明 CA 证书和密钥。
包括集群使用外部CA的设置指南。
PKI 证书和要求包括关于用外部 CA 设置集群的指南。
你可以使用 check-expiration 子命令来检查证书何时过期
输出类似于以下内容:
admin.conf Dec 30, 2020 23:36 UTC 364d noapiserver Dec 30, 2020 23:36 UTC 364d ca noapiserver-etcd-client Dec 30, 2020 23:36 UTC 364d etcd-ca noapiserver-kubelet-client Dec 30, 2020 23:36 UTC 364d ca nocontroller-manager.conf Dec 30, 2020 23:36 UTC 364d noetcd-healthcheck-client Dec 30, 2020 23:36 UTC 364d etcd-ca noetcd-peer Dec 30, 2020 23:36 UTC 364d etcd-ca noetcd-server Dec 30, 2020 23:36 UTC 364d etcd-ca nofront-proxy-client Dec 30, 2020 23:36 UTC 364d front-proxy-ca noscheduler.conf Dec 30, 2020 23:36 UTC 364d noCERTIFICATE AUTHORITY EXPIRES RESIDUAL TIME EXTERNALLY MANAGEDca Dec 28, 2029 23:36 UTC 9y no
该命令显示 /etc/kubernetes/pki 文件夹中的客户端证书以及 kubeadm(admin.conf, controller-manager.conf 和 scheduler.conf) 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间。
另外, kubeadm 会通知用户证书是否由外部管理; 在这种情况下,用户应该小心的手动/使用其他工具来管理证书更新。
自动更新证书
kubeadm 会在控制面 的时候更新所有证书。
这个功能旨在解决最简单的用例;如果你对此类证书的更新没有特殊要求, 并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年), 则 kubeadm 将确保你的集群保持最新状态并保持合理的安全性。
如果你对证书更新有更复杂的需求,则可通过将 --certificate-renewal=false 传递给 kubeadm upgrade apply 或者 kubeadm upgrade node,从而选择不采用默认行为。
手动更新证书
你能随时通过 kubeadm alpha certs renew 命令手动更新你的证书。
此命令用 CA (或者 front-proxy-CA )证书和存储在 /etc/kubernetes/pki 中的密钥执行更新。
kubeadm certs renew提供以下选项:
Kubernetes 证书通常在一年后到期。
--csr-only可用于经过一个外部 CA 生成的证书签名请求来更新证书(无需实际替换更新证书); 更多信息请参见下节。- 可以更新单个证书而不是全部证书。
本节提供有关如何使用 Kubernetes 证书 API 执行手动证书更新的更多详细信息。
Kubernetes 证书颁发机构不是开箱即用。 你可以配置外部签名者,例如 cert-manager, 也可以使用内置签名者。 内置签名者是 的一部分。 要激活内置签名者,请传递 --cluster-signing-cert-file 和 --cluster-signing-key-file 参数。
apiVersion: kubeadm.k8s.io/v1beta2kind: ClusterConfigurationcontrollerManager:extraArgs:cluster-signing-cert-file: /etc/kubernetes/pki/ca.crtcluster-signing-key-file: /etc/kubernetes/pki/ca.key
你可以用 kubeadm alpha certs renew --use-api 为 Kubernetes 证书 API 创建一个证书签名请求。
如果你设置例如 cert-manager 等外部签名者,证书签名请求(CSRs)会被自动批准。 否则,你必须使用 命令手动批准证书。 以下 kubeadm 命令输出要批准的证书名称,然后阻塞等待批准发生:
输出类似于以下内容:
[1] 2890[certs] certificate request "kubeadm-cert-kube-apiserver-ld526" created
如果你设置了一个外部签名者, 证书签名请求 (CSRs) 会自动被批准。
否则,你必须用 kubectl certificate 命令手动批准证书,例如:
输出类似于以下内容:
certificatesigningrequest.certificates.k8s.io/kubeadm-cert-kube-apiserver-ld526 approved
你可以使用 kubectl get csr 查看待处理证书列表。
通过外部 CA 更新证书
本节提供有关如何使用外部 CA 执行手动更新证书的更多详细信息。
为了更好的与外部 CA 集成,kubeadm 还可以生成证书签名请求(CSR)。 CSR 表示向 CA 请求客户的签名证书。 在 kubeadm 术语中,通常由磁盘 CA 签名的任何证书都可以作为 CSR 生成。但是,CA 不能作为 CSR 生成。
你可以通过 kubeadm alpha certs renew --csr-only 命令创建证书签名请求。
CSR 和随附的私钥都在输出中给出。 你可以传入一个带有 --csr-dir 的目录,将 CRS 输出到指定位置。 如果未指定 --csr-dir ,则使用默认证书目录(/etc/kubernetes/pki)。
证书可以通过 kubeadm certs renew --csr-only 来续订。 和 kubeadm init 一样,可以使用 --csr-dir 标志指定一个输出目录。
CSR 签署证书后,必须将证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki)。
CSR 中包含一个证书的名字,域和 IP,但是未指定用法。 颁发证书时,CA 有责任指定
- 在
openssl中,这是通过openssl ca命令 来完成的。
使用首选方法对证书签名后,必须将证书和私钥复制到 PKI 目录(默认为 /etc/kubernetes/pki )。
证书机构(CA)轮换
关于手动轮换或者置换 CA 的更多信息,可参阅 。
