我的书签
添加书签
移除书签管理集群中的TLS
每个Kubernetes集群都有一个集群根证书颁发机构(CA)。 集群中的组件通常使用CA来验证API server的证书,由API服务器验证kubelet客户端证书等。为了支持这一点,CA证书包被分发到集群中的每个节点,并作为一个secret附加分发到默认service account上。 或者,你的workload可以使用此CA建立信任。 你的应用程序可以使用类似于ACME草案的协议,使用 API请求证书签名。
让Pod中运行的应用程序信任集群根CA通常需要一些额外的应用程序配置。 您将需要将CA证书包添加到TLS客户端或服务器信任的CA证书列表中。 例如,您可以使用golang TLS配置通过解析证书链并将解析的证书添加到结构中的Certificates字段中,CA证书捆绑包将使用默认服务账户自动加载到pod中,路径为/var/run/secrets/kubernetes.io/serviceaccount/ca.crt。 如果您没有使用默认服务账户,请请求集群管理员构建包含您有权访问使用的证书包的configmap。
以下部分演示如何为通过DNS访问的Kubernetes服务创建TLS证书。
下载cfssl工具:https://pkg.cfssl.org/.
通过运行以下命令生成私钥和证书签名请求(或CSR):
2017/03/21 06:48:17 [INFO] received CSR2017/03/21 06:48:17 [INFO] generating key: ecdsa-2562017/03/21 06:48:17 [INFO] encoded CSR
此命令生成两个文件; 它生成包含PEM编码的认证请求的server.csr,以及包含仍然要创建的证书的PEM编码密钥的。
使用以下命令创建CSR yaml文件,并发送到API server:
请注意,在步骤1中创建的server.csr文件是base64编码并存储在.spec.request字段中。 我们还要求提供“数字签名”,“密钥加密”和“服务器身份验证”密钥用途的证书。
在API server中可以看到这些CSR处于pending状态。执行下面的命令你将可以看到:
$ kubectl describe csr my-svc.my-namespaceName: my-svc.my-namespaceLabels: <none>Annotations: <none>CreationTimestamp: Tue, 21 Mar 2017 07:03:51 -0700Requesting User: yourname@example.comStatus: PendingCommon Name: my-svc.my-namespace.svc.cluster.localSerial Number:DNS Names: my-svc.my-namespace.svc.cluster.localIP Addresses: 172.168.0.2410.0.34.2Events: <none>
批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次完成。 有关这方面涉及的更多信息,请参见下文。
你可以通过运行以下命令下载颁发的证书并将其保存到server.crt文件中:
$ kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \| base64 -d > server.crt
现在你可以用server.crt和server-key.pem来做为keypair来启动HTTPS server。
Kubernetes 管理员(具有适当权限)可以使用 kubectl certificate approve 和kubectl certificate deny 命令手动批准(或拒绝)证书签名请求。但是,如果您打算大量使用此 API,则可以考虑编写自动化的证书控制器。
如果上述机器或人类使用 kubectl,批准者的作用是验证 CSR 满足如下两个要求:
- CSR 的主体控制用于签署 CSR 的私钥。这解决了伪装成授权主体的第三方的威胁。在上述示例中,此步骤将验证该 pod 控制了用于生成 CSR 的私钥。
当且仅当满足这两个要求时,审批者应该批准 CSR,否则拒绝 CSR。
