PKI 证书和要求
Kubernetes 需要 PKI 证书才能通过 TLS 进行身份验证。如果您使用 kubeadm 安装 Kubernetes,集群所需的证书将自动生成。您也可以生成自己的证书,例如,通过不将私钥存储在 API 服务器上,以使私钥更安全。此页面介绍集群所需的证书。
证书在集群中的使用方式
Kubernetes 需要 PKI 来执行以下操作
- kubelet 用于向 API 服务器进行身份验证的客户端证书
- Kubelet 服务器证书,用于 API 服务器与 kubelet 通信
- API 服务器端点的服务器证书
- 集群管理员用于向 API 服务器进行身份验证的客户端证书
- API 服务器用于与 kubelet 通信的客户端证书
- API 服务器用于与 etcd 通信的客户端证书
- 控制器管理器用于与 API 服务器通信的客户端证书/kubeconfig
- 调度程序用于与 API 服务器通信的客户端证书/kubeconfig。
- 用于 前端代理 的客户端和服务器证书
etcd 还实现双向 TLS 来对客户端和对等节点进行身份验证。
证书的存储位置
如果您使用 kubeadm 安装 Kubernetes,大多数证书将存储在 /etc/kubernetes/pki 中。本文档中的所有路径相对于该目录,除了用户帐户证书,kubeadm 将其放置在 /etc/kubernetes 中。
手动配置证书
如果您不希望 kubeadm 生成所需的证书,可以使用单个根 CA 或提供所有证书来创建它们。有关创建自己的证书颁发机构的详细信息,请参阅 证书。有关管理证书的更多信息,请参阅 使用 kubeadm 管理证书。
单个根 CA
您可以创建一个由管理员控制的单个根 CA。然后,此根 CA 可以创建多个中间 CA,并将所有进一步的创建委派给 Kubernetes 本身。
必需的 CA
| 路径 | 默认 CN | 描述 |
|---|---|---|
| ca.crt,key | kubernetes-ca | Kubernetes 通用 CA |
| etcd/ca.crt,key | etcd-ca | 用于所有与 etcd 相关的功能 |
| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | 用于 前端代理 |
除了上述 CA 之外,还需要获取用于服务帐户管理的公钥/私钥对,即 sa.key 和 sa.pub。以下示例说明了上表中显示的 CA 密钥和证书文件
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-ca.key
所有证书
如果您不想将 CA 私钥复制到集群中,可以自己生成所有证书。
必需的证书
| 默认 CN | 父 CA | O (在主题中) | 种类 | 主机 (SAN) |
|---|---|---|---|---|
| kube-etcd | etcd-ca | 服务器、客户端 | <hostname>, <Host_IP>, localhost, 127.0.0.1 | |
| kube-etcd-peer | etcd-ca | 服务器、客户端 | <hostname>, <Host_IP>, localhost, 127.0.0.1 | |
| kube-etcd-healthcheck-client | etcd-ca | 客户端 | ||
| kube-apiserver-etcd-client | etcd-ca | 客户端 | ||
| kube-apiserver | kubernetes-ca | 服务器 | <hostname>, <Host_IP>, <advertise_IP>, [1] | |
| kube-apiserver-kubelet-client | kubernetes-ca | system:masters | 客户端 | |
| front-proxy-client | kubernetes-front-proxy-ca | 客户端 |
注意
对于kube-apiserver-kubelet-client,可以使用权限较低的组,而不是使用超级用户组 system:masters。kubeadm 使用 kubeadm:cluster-admins 组来实现此目的。[1]: 您与集群联系的任何其他 IP 或 DNS 名称(如 kubeadm 使用的负载均衡器稳定 IP 和/或 DNS 名称,kubernetes, kubernetes.default, kubernetes.default.svc, kubernetes.default.svc.cluster, kubernetes.default.svc.cluster.local)
其中 kind 映射到一个或多个 x509 密钥用法,这也在 CertificateSigningRequest 类型的 .spec.usages 中有所说明
| 种类 | 密钥用法 |
|---|---|
| 服务器 | 数字签名、密钥加密、服务器身份验证 |
| 客户端 | 数字签名、密钥加密、客户端身份验证 |
注意
上面列出的主机/SAN 是获取正常运行的集群的推荐选项。如果特定设置需要,可以在所有服务器证书上添加其他 SAN。注意
仅供 kubeadm 用户
- 在将 CA 证书复制到集群中而不使用私钥的情况下,在 kubeadm 文档中称为外部 CA。
- 如果您将上述列表与 kubeadm 生成的 PKI 进行比较,请注意,在使用外部 etcd 的情况下,不会生成
kube-etcd、kube-etcd-peer和kube-etcd-healthcheck-client证书。
证书路径
证书应放置在推荐的路径中(如 kubeadm 使用的路径)。应使用给定的参数指定路径,而不管位置如何。
| 默认 CN | 推荐的密钥路径 | 推荐的证书路径 | 命令 | 密钥参数 | 证书参数 |
|---|---|---|---|---|---|
| etcd-ca | etcd/ca.key | etcd/ca.crt | kube-apiserver | --etcd-cafile | |
| kube-apiserver-etcd-client | apiserver-etcd-client.key | apiserver-etcd-client.crt | kube-apiserver | --etcd-keyfile | --etcd-certfile |
| kubernetes-ca | ca.key | ca.crt | kube-apiserver | --client-ca-file | |
| kubernetes-ca | ca.key | ca.crt | kube-controller-manager | --cluster-signing-key-file | --client-ca-file, --root-ca-file, --cluster-signing-cert-file |
| kube-apiserver | apiserver.key | apiserver.crt | kube-apiserver | --tls-private-key-file | --tls-cert-file |
| kube-apiserver-kubelet-client | apiserver-kubelet-client.key | apiserver-kubelet-client.crt | kube-apiserver | --kubelet-client-key | --kubelet-client-certificate |
| front-proxy-ca | front-proxy-ca.key | front-proxy-ca.crt | kube-apiserver | --requestheader-client-ca-file | |
| front-proxy-ca | front-proxy-ca.key | front-proxy-ca.crt | kube-controller-manager | --requestheader-client-ca-file | |
| front-proxy-client | front-proxy-client.key | front-proxy-client.crt | kube-apiserver | --proxy-client-key-file | --proxy-client-cert-file |
| etcd-ca | etcd/ca.key | etcd/ca.crt | etcd | --trusted-ca-file, --peer-trusted-ca-file | |
| kube-etcd | etcd/server.key | etcd/server.crt | etcd | --key-file | --cert-file |
| kube-etcd-peer | etcd/peer.key | etcd/peer.crt | etcd | --peer-key-file | --peer-cert-file |
| etcd-ca | etcd/ca.crt | etcdctl | --cacert | ||
| kube-etcd-healthcheck-client | etcd/healthcheck-client.key | etcd/healthcheck-client.crt | etcdctl | --key | --cert |
服务帐户密钥对也适用相同的考虑因素
| 私钥路径 | 公钥路径 | 命令 | 参数 |
|---|---|---|---|
| sa.key | kube-controller-manager | --service-account-private-key-file | |
| sa.pub | kube-apiserver | --service-account-key-file |
以下示例说明了如果您自己生成所有密钥和证书,则需要提供 来自上表的 文件路径
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/apiserver-etcd-client.key
/etc/kubernetes/pki/apiserver-etcd-client.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/apiserver.key
/etc/kubernetes/pki/apiserver.crt
/etc/kubernetes/pki/apiserver-kubelet-client.key
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/front-proxy-ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-client.key
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/etcd/server.key
/etc/kubernetes/pki/etcd/server.crt
/etc/kubernetes/pki/etcd/peer.key
/etc/kubernetes/pki/etcd/peer.crt
/etc/kubernetes/pki/etcd/healthcheck-client.key
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/sa.key
/etc/kubernetes/pki/sa.pub
为用户帐户配置证书
您必须手动配置这些管理员帐户和服务帐户
| 文件名 | 凭据名称 | 默认 CN | O (在主题中) |
|---|---|---|---|
| admin.conf | default-admin | kubernetes-admin | <admin-group> |
| super-admin.conf | default-super-admin | kubernetes-super-admin | system:masters |
| kubelet.conf | default-auth | system:node:<nodeName> (见注释) | system:nodes |
| controller-manager.conf | default-controller-manager | system:kube-controller-manager | |
| scheduler.conf | default-scheduler | system:kube-scheduler |
注意
在上述示例中,<admin-group> 是特定于实现的。某些工具会将 admin.conf 中的证书签名为 system:masters 组的一部分。system:masters 是一个备用方案,超级用户组可以绕过 Kubernetes 的授权层,例如 RBAC。另外,某些工具不会生成单独的 super-admin.conf,其中包含绑定到此超级用户组的证书。
kubeadm 在 kubeconfig 文件中生成两个单独的管理员证书。一个是 admin.conf,它具有 Subject: O = kubeadm:cluster-admins, CN = kubernetes-admin。kubeadm:cluster-admins 是一个自定义组,绑定到 cluster-admin ClusterRole。此文件是在所有由 kubeadm 管理的控制平面机器上生成的。
另一个是 super-admin.conf,它具有 Subject: O = system:masters, CN = kubernetes-super-admin。此文件仅在调用 kubeadm init 的节点上生成。
对于每个配置,使用给定的 CN 和 O 生成一个 x509 证书/密钥对。
对于每个配置,按如下方式运行
kubectl
KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs
KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs
KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name>
KUBECONFIG=<filename> kubectl config use-context default-system
这些文件的使用方式如下
| 文件名 | 命令 | 注释 |
|---|---|---|
| admin.conf | kubectl | 配置集群的管理员用户 |
| super-admin.conf | kubectl | 配置集群的超级管理员用户 |
| kubelet.conf | kubelet | 集群中的每个节点都需要一个。 |
| controller-manager.conf | kube-controller-manager | 必须添加到 manifests/kube-controller-manager.yaml 中的清单中 |
| scheduler.conf | kube-scheduler | 必须添加到 manifests/kube-scheduler.yaml 中的清单中 |
以下文件说明了上表中列出的文件的完整路径
/etc/kubernetes/admin.conf
/etc/kubernetes/super-admin.conf
/etc/kubernetes/kubelet.conf
/etc/kubernetes/controller-manager.conf
/etc/kubernetes/scheduler.conf