养浩然之气,做博学之人
为确保安全,kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证,使用 CloudFlare 的 PKI 工具集 cfssl 创建所有证书。CA (Certificate Authority) 是自签名的根证书,用来签名后续创建的其它证书。
主Master节点完成操作
#创建目录 mkdir -p /opt/k8s/cert sudo chown -R k8s /opt/k8s #下载cfssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cp cfssl_linux-amd64 /opt/k8s/bin/cfssl #下载cfssljson wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cp cfssljson_linux-amd64 /opt/k8s/bin/cfssljson #下载cfssl-certinfo wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 cp cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo #增加权限 chmod +x /opt/k8s/bin/* export PATH=/opt/k8s/bin:$PATH
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。
(1)创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。
cat > ca-config.json << EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF
#signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE;
#server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
#client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;
(2)创建证书签名请求文件
cat > ca-csr.json << EOF { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "xiaowangyun" } ] } EOF
#CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
#O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
#kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识;
(3)生成 CA 证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
#将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下:
#source /opt/k8s/bin/environment.sh # 导入 NODE_IPS 环境变量 for node_ip in ${NODE_IPS[@]} do echo ">>> ${node_ip}" ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert && chown -R k8s /etc/kubernetes" scp ca*.pem ca-config.json k8s@${node_ip}:/etc/kubernetes/cert done
注意:k8s 账户需要有读写 /etc/kubernetes 目录及其子目录文件的权限;
编辑:孙小北
本文地址: https://www.xiaowangyun.com/wyblog/detail/?id=225
版权归属: www.xiaowangyun.com 转载时请以链接形式注明出处
0 条评论