惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园_首页
T
Threat Research - Cisco Blogs
GbyAI
GbyAI
Y
Y Combinator Blog
美团技术团队
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园 - 【当耐特】
S
SegmentFault 最新的问题
IT之家
IT之家
Recent Announcements
Recent Announcements
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
阮一峰的网络日志
阮一峰的网络日志
T
The Blog of Author Tim Ferriss
Martin Fowler
Martin Fowler
Microsoft Azure Blog
Microsoft Azure Blog
V
Visual Studio Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
U
Unit 42
WordPress大学
WordPress大学
博客园 - Franky
L
LangChain Blog
人人都是产品经理
人人都是产品经理
小众软件
小众软件
博客园 - 叶小钗
罗磊的独立博客
酷 壳 – CoolShell
酷 壳 – CoolShell
大猫的无限游戏
大猫的无限游戏
云风的 BLOG
云风的 BLOG
Vercel News
Vercel News
雷峰网
雷峰网
腾讯CDC
Google DeepMind News
Google DeepMind News
博客园 - 三生石上(FineUI控件)
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Help Net Security
Help Net Security
C
Check Point Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
N
News and Events Feed by Topic
V2EX - 技术
V2EX - 技术
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Schneier on Security
Schneier on Security
博客园 - 聂微东
A
Arctic Wolf
H
Heimdal Security Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Recent Commits to openclaw:main
Recent Commits to openclaw:main
T
The Exploit Database - CXSecurity.com
C
Cyber Attacks, Cyber Crime and Cyber Security
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Google DeepMind News
Google DeepMind News

陈少文的网站

巨变与机遇的未来十年 Kubernetes 平台管理软件压力测试方案 使用镜像部署 Hexo 静态页面 终于等到你 - GitHub 镜像仓库服务(ghcr.io) 一起来学 Go --(6)Interface 一起来学 Go --(5)Goroutine 和 Channel 什么是函数式编程 如何在 Kubernetes 集群集成 Kata 柯里化与偏函数 使用 PyGithub 自动创建 Label 软件产品是团队能力的输出 Helm 2 、Helm 3 比较 IoT 变现 Kubernetes 中的 DNS 服务 国内的 Helm 镜像源 Harbor 使用自签证书支持 Https 访问 DevOps 工具链之 Prow 如何使用 kfctl 安装 Kubeflow VS Code 无法下载 Go 插件的工具包 工程师更应具有服务精神 你不知道的 Docker 使用技巧 使用 Docker 运行 Tensorflow 论中国 什么是左移 如何清空 Git 仓库全部历史记录 一禅小和尚 有风吹过厨房 时间的玫瑰 如何在 CentOS 安装 GPU 驱动 开发 Tips(19) 使用 Velero 备份 Kubernetes 集群 Kubernetes Cheat Sheet 开发 Tips(18) 如何构建一个 Java 工程 开发 Tips(17) KubeSpray 安装 Kubernetes 报错 ip in ansible_all_ipv4_addresses 基于 Kubernetes 和 Jenkins 搭建自动化测试系统 在 Kubernetes 上动态创建 Jenkins Slave 使用 Jenkins 进行服务拨测 开发 Tips(16) Kubernetes 签发 Ingress 证书及日常故障运维 Kubernetes 中 Deployment 的基本操作 如何使用 KubeBuilder 开发一个 Operator Kubernetes 1.6.0 安装问题汇总 镜像管理工具 -- Harbor 开发 Tips(15) Docker 如何拉取镜像 开发 Tips(14) 使用 Helm 安装 harbor 开发 Tips(13) 使用 S2I 构建云原生应用 在 Kubernetes 中使用 emptyDir、hostPath、localVolume 开发 Tips(12) 开发 Tips(11) 代码质量分析工具 SonarQube 使用 Kubeadm 安装 Kubernetes 集群 一起来学 Go --(4)常用函数 Kubernetes 中的 Ceph Kubernetes 之 Volumes Kubernetes 之 Labels、Selectors 开发 Tips(10) 开源正在重构商业模式 Kubernetes 之网络 Kubernetes 之 API 使用 Helm 和 Operator 快速部署 Prometheus Kubernetes 复杂有状态应用管理框架 -- Operator Kubernetes 的包管理器 -- Helm 一起来学 Go --(3)Go Modules 如何一步一步地优化博客方案 kubectl 实用指南 Kubernetes 中的基本概念 搭建远程 Kubernetes 开发环境 大公司和小公司的 ToB 思路 开发 Tips(9) Go 入门指南 一起来学 Go --(2)数据与逻辑结构 如何预防 Web 富文本中的 XSS 攻击 django-xss-cleaner 云工作时代 一起来学 Go --(1)背景与特点 SaaS 开发团队的不同阶段 你不知道的 Git 使用技巧 输出既服务 微服务设计 继续奔跑 开发 Tips(8) 从账户安全到二次验证 Django 性能之数据库查询优化 Django 性能之分库分表 敏捷开发之研发流程 打造一致性的团队 开发 Tips(7) Pytest 进阶学习之 Mock PaaS 部署之 buildpack Go 开发配置 领域输出才是 PaaS 的核心竞争力 Pytest 入门学习 开发 Tips(6) 如何使用 Jenkins、Docker、GitLab 搭建 Django 自动化部署流程 开发 Tips(5)
Kubernetes 中的证书
微信公众号 · 2019-09-26 · via 陈少文的网站

Please enable Javascript to view the contents

我使用的是 Kubernetes 1.15.3 ,不同版本的处理方法可能会有不同。

1. 关于证书

  • 根证书是自签的

根证书是由自己签发的。在浏览器中,内置了常见的证书服务商的 CA 证书。因此,浏览器才会信任这些证书服务商签发的下一级证书。

我们也可以生成根证书,但是需要将根证书添加到系统信任证书列表中。这样,我们就可以给自己签发证书。

  • 证书是有层级的

证书的签发是一条信任链。根 CA 签发子 CA ,子 CA 签发终端用户。通常为了减轻根 CA 证书的签发压力,会生成一定层级的中间 CA ,用于分层管理证书的签发。

  • 证书是信任凭证

证书分为 DV、OV、EV。它们使用相同的加密算法,但提供不同的信任等级。这里的信任不是指技术,而是指签发对象。等级越高的证书,对签发对象验证越严格。因证书导致损失,赔偿额度越高。

2. Kubernetes 中的证书

证书认证分为单向和双向。

单向认证只需要服务器端自证身份,比如浏览器访问服务器,而双向认证需要服务器和客户端互证身份,比如后台的点对点通信。

Kubernetes 的核心组件采取的是双向认证机制,客户端和服务器同时持有证书。

Kubernetes 中常见的证书信任链:

  1. /etc/kubernetes/pki/ca

签发证书

  • /etc/kubernetes/pki/apiserver
  • /etc/kubernetes/pki/apiserver-kubelet-client
  1. /etc/kubernetes/pki/front-proxy-ca

签发证书

  • /etc/kubernetes/pki/front-proxy-client
  1. /etc/kubernetes/pki/etcd/ca

签发证书

  • /etc/kubernetes/pki/etcd/server
  • /etc/kubernetes/pki/etcd/peer
  • /etc/kubernetes/pki/etcd/healthcheck-client
  • /etc/kubernetes/pki/apiserver-etcd-client
  1. /etc/kubernetes/pki/sa

用于 Serveice Account 的认证。

3. 续签 Kubernetes 证书

Kubeadm 创建的 Kubernetes 集群, apiserver、controller-manager、kubelete 等组件的证书默认有效期只有一年。

官方推荐一年之内至少用 Kubeadm 更新一次 Kubernetes 版本,自动更新证书。

  • 查看根 CA 证书的有效期,默认为 10 年:
1
2
cd /etc/kubernetes/pki
ls | grep ca.crt | xargs -I {} openssl x509 -text -in {} | grep "Not After"
  • 查看当前证书有效期
1
kubeadm alpha certs check-expiration
  • 重新签发证书

续签全部证书

1
kubeadm alpha certs renew all

也可以局部进行续签 apiserver-etcd-client 、apiserver-kubelet-client、apiserver、etcd-healthcheck-client、etcd-peer、etcd-server、front-proxy-client

1
kubeadm alpha certs renew apiserver-etcd-client

4. 更新 apiserver 证书域名或 IP 来源

如果 Master 节点的 IP 发生了漂移或者希望通过指定域名访问集群,就需要对 apiserver 证书进行更新,分为如下几步:

  • 生成 Kubeadm 的配置文件
1
kubectl -n kube-system get configmap kubeadm-config -o jsonpath='{.data.ClusterConfiguration}' > kubeadm.yaml
  • 在 kubeadm.yaml 文件中,apiServer 增加 certSANs 字段指定证书包含的 IP 和域名
1
2
3
4
apiServer:
  certSANs:
    - "1.23.45.67"
    - "yourdomain.com"
  • 备份证书
1
mv /etc/kubernetes/pki/apiserver.{crt,key} ~
  • 生成新的 apiserver 证书
1
kubeadm init phase certs apiserver --config kubeadm.yaml
  • 重启 apiserver ,直接重启 Pod 并不会生效

首先拿到 apiserver 的 CONTAINER_ID ,然后 kill 掉,系统会自动拉起 apiserver。

1
2
docker ps | grep kube-apiserver | grep -v pause
docker kill {CONTAINER_ID}

5. 参考


微信公众号