2022-01-26 16:03:01 +08:00
# 管理集群中的 TLS
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
在本书的最佳实践部分,我们在 CentOS 上部署了 Kuberentes 集群,其中最开始又重要的一步就是创建 TLS 认证的,查看[创建TLS证书和秘钥](../practice/create-tls-and-secret-key.md)。很多人在进行到这一步时都会遇到各种各样千奇百怪的问题,这一步是创建集群的基础,我们有必要详细了解一下其背后的流程和原理。
2017-05-22 20:40:08 +08:00
## 概览
2021-12-25 21:42:34 +08:00
每个 Kubernetes 集群都有一个集群根证书颁发机构( ) , ACME 草案 ](https://github.com/ietf-wg-acme/acme/ )的协议,使用 `certificates.k8s.io` API 请求证书签名。
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
## 集群中的 TLS 信任
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
让 Pod 中运行的应用程序信任集群根 CA 通常需要一些额外的应用程序配置。 您将需要将 CA 证书包添加到 TLS 客户端或服务器信任的 CA 证书列表中。 例如,您可以使用 golang TLS 配置通过解析证书链并将解析的证书添加到 [`tls.Config` ](https://godoc.org/crypto/tls#Config )结构中的 `Certificates` 字段中, `/var/run/secrets/kubernetes.io/serviceaccount/ca.crt` 。 如果您没有使用默认服务账户,请请求集群管理员构建包含您有权访问使用的证书包的 configmap。
2017-05-22 20:40:08 +08:00
## 请求认证
2021-12-25 21:42:34 +08:00
以下部分演示如何为通过 DNS 访问的 Kubernetes 服务创建 TLS 证书。
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
### 下载安装SSL
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
[下载 cfssl 工具 ](https://pkg.cfssl.org/ )。
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
### 创建证书签名请求
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
通过运行以下命令生成私钥和证书签名请求(或 CSR) :
2017-05-22 20:40:08 +08:00
2019-07-08 10:39:21 +08:00
```bash
2017-05-22 20:40:08 +08:00
$ cat < < EOF | cfssl genkey - | cfssljson -bare server
{
"hosts": [
"my-svc.my-namespace.svc.cluster.local",
"my-pod.my-namespace.pod.cluster.local",
"172.168.0.24",
"10.0.34.2"
],
"CN": "my-pod.my-namespace.pod.cluster.local",
"key": {
"algo": "ecdsa",
"size": 256
}
}
EOF
```
2021-12-25 21:42:34 +08:00
`172.168.0.24` 是 service 的 cluster IP, `10.0.34.2` 是 Pod 的 IP, `my-pod.my-namespace.pod.cluster.local` 是 pod 的 DNS 名称,你可以看到以下输出:
2017-05-22 20:40:08 +08:00
2019-02-17 11:39:33 +08:00
```ini
2017-05-22 20:40:08 +08:00
2017/03/21 06:48:17 [INFO] generate received request
2017/03/21 06:48:17 [INFO] received CSR
2017/03/21 06:48:17 [INFO] generating key: ecdsa-256
2017/03/21 06:48:17 [INFO] encoded CSR
```
2022-03-10 10:50:53 +08:00
此命令生成两个文件;它生成包含 PEM 编码的 [pkcs #10 ](https://datatracker.ietf.org/doc/html/rfc2986 ) 认证请求的 `server.csr` ,以及包含仍然要创建的证书的 PEM 编码密钥的 `server-key.pem` 。
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
### 创建证书签名请求对象以发送到 Kubernetes API
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
使用以下命令创建 CSR yaml 文件,并发送到 API server:
2017-05-22 20:40:08 +08:00
```bash
$ cat < < EOF | kubectl create -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
name: my-svc.my-namespace
spec:
groups:
- system:authenticated
request: $(cat server.csr | base64 | tr -d '\n')
usages:
- digital signature
- key encipherment
- server auth
EOF
```
2021-12-25 21:42:34 +08:00
请注意,在步骤 1 中创建的 `server.csr` 文件是 base64 编码并存储在`.spec.request` 字段中。 我们还要求提供 “数字签名”,“密钥加密” 和 “服务器身份验证” 密钥用途的证书。
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
在 API server 中可以看到这些 CSR 处于 pending 状态。执行下面的命令你将可以看到:
2017-05-22 20:40:08 +08:00
```bash
$ kubectl describe csr my-svc.my-namespace
Name: my-svc.my-namespace
Labels: < none >
Annotations: < none >
CreationTimestamp: Tue, 21 Mar 2017 07:03:51 -0700
Requesting User: yourname@example.com
Status: Pending
Subject:
Common Name: my-svc.my-namespace.svc.cluster.local
Serial Number:
Subject Alternative Names:
DNS Names: my-svc.my-namespace.svc.cluster.local
IP Addresses: 172.168.0.24
10.0.34.2
Events: < none >
```
2021-12-25 21:42:34 +08:00
### 获取证书签名请求
2017-05-22 20:40:08 +08:00
批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次完成。 有关这方面涉及的更多信息,请参见下文。
2021-12-25 21:42:34 +08:00
### 下载签名并使用
2017-05-22 20:40:08 +08:00
2021-12-25 21:42:34 +08:00
一旦 CSR 被签署并获得批准,您应该看到以下内容:
2017-05-22 20:40:08 +08:00
```bash
$ kubectl get csr
NAME AGE REQUESTOR CONDITION
my-svc.my-namespace 10m yourname@example.com Approved,Issued
```
2021-12-25 21:42:34 +08:00
你可以通过运行以下命令下载颁发的证书并将其保存到 `server.crt` 文件中:
2017-05-22 20:40:08 +08:00
```bash
$ kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
| base64 -d > server.crt
```
2021-12-25 21:42:34 +08:00
现在你可以用 `server.crt` 和 `server-key.pem` 来做为 keypair 来启动 HTTPS server。
2017-05-22 20:40:08 +08:00
2017-08-13 22:49:32 +08:00
## 批准证书签名请求
2021-12-25 21:42:34 +08:00
Kubernetes 管理员(具有适当权限)可以使用 `kubectl certificate approve` 和 `kubectl certificate deny` 命令手动批准(或拒绝)证书签名请求。但是,如果您打算大量使用此 API,
2017-08-13 22:49:32 +08:00
如果上述机器或人类使用 kubectl,
1. CSR 的主体控制用于签署 CSR 的私钥。这解决了伪装成授权主体的第三方的威胁。在上述示例中,此步骤将验证该 pod 控制了用于生成 CSR 的私钥。
2. CSR 的主体被授权在请求的上下文中执行。这解决了我们加入群集的我们不期望的主体的威胁。在上述示例中,此步骤将是验证该 pod 是否被允许加入到所请求的服务中。
当且仅当满足这两个要求时,审批者应该批准 CSR,
2017-05-22 20:40:08 +08:00
## 给集群管理员的一个建议
2021-12-25 21:42:34 +08:00
本教程假设将 signer 设置为服务证书 API。Kubernetes controller manager 提供了一个 signer 的默认实现。 要启用它,请将 `--cluster-signing-cert-file` 和 `--cluster-signing-key-file` 参数传递给 controller manager,
