BLOG

2018-08-05 孙小北

二进制部署k8s集群方案之创建CA证书和秘钥

养浩然之气，做博学之人

为确保安全，kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证，使用 CloudFlare 的 PKI 工具集 cfssl 创建所有证书。CA (Certificate Authority) 是自签名的根证书，用来签名后续创建的其它证书。

主Master节点完成操作

一、下载安装 cfssl 工具集

#创建目录
mkdir -p /opt/k8s/cert 
sudo chown -R k8s /opt/k8s 
#下载cfssl
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
cp cfssl_linux-amd64 /opt/k8s/bin/cfssl
#下载cfssljson
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
cp cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
#下载cfssl-certinfo
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
cp cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
#增加权限
chmod +x /opt/k8s/bin/*
export PATH=/opt/k8s/bin:$PATH

二、创建根证书 (CA)

CA 证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名。

（1）创建配置文件

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage，过期时间、服务端认证、客户端认证、加密等)，后续在签名其它证书时需要指定特定场景。

cat > ca-config.json << EOF
{
  "signing": { 
     "default": { 
          "expiry": "87600h" 
      },
      "profiles": { 
          "kubernetes": { 
             "usages": [ 
                 "signing",
                 "key encipherment",
                 "server auth",
                 "client auth"
             ],
             "expiry": "87600h" 
           }
        }
   }
}
EOF

#signing：表示该证书可用于签名其它证书，生成的 ca.pem 证书中 CA=TRUE；

#server auth：表示 client 可以用该该证书对 server 提供的证书进行验证；

#client auth：表示 server 可以用该该证书对 client 提供的证书进行验证；

（2）创建证书签名请求文件

cat > ca-csr.json << EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048 
    },
    "names": [
        { 
            "C": "CN",
            "ST": "BeiJing",
            "L": "BeiJing",
            "O": "k8s",
            "OU": "xiaowangyun"
        }
   ]
}
EOF

#CN：Common Name，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)，浏览器使用该字段验证网站是否合法；

#O：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)；

#kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

（3）生成 CA 证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

三、分发证书文件

#将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下：

#source /opt/k8s/bin/environment.sh 
# 导入 NODE_IPS 环境变量
for node_ip in ${NODE_IPS[@]}
  do
      echo ">>> ${node_ip}"      
      ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert && chown -R k8s /etc/kubernetes"
      scp ca*.pem ca-config.json k8s@${node_ip}:/etc/kubernetes/cert
  done

注意：k8s 账户需要有读写 /etc/kubernetes 目录及其子目录文件的权限；