Black lives matter.
We stand in solidarity with the Black community.
Racism is unacceptable.
It conflicts with the core values of the Kubernetes project and our community does not tolerate it.
使用 kubeadm 进行证书管理
FEATURE STATE:
Kubernetes v1.15 [stable]
由 kubeadm 生成的客户端证书在 1 年后到期。 本页说明如何使用 kubeadm 管理证书续订。
准备开始
您应该熟悉Kubernetes 中的 PKI 证书和要求。
检查证书是否过期
check-expiration 能被用来检查证书是否过期
kubeadm alpha certs check-expiration
输出类似于以下内容:
CERTIFICATE EXPIRES RESIDUAL TIME EXTERNALLY MANAGED
admin.conf May 15, 2020 13:03 UTC 364d false
apiserver May 15, 2020 13:00 UTC 364d false
apiserver-etcd-client May 15, 2020 13:00 UTC 364d false
apiserver-kubelet-client May 15, 2020 13:00 UTC 364d false
controller-manager.conf May 15, 2020 13:03 UTC 364d false
etcd-healthcheck-client May 15, 2020 13:00 UTC 364d false
etcd-peer May 15, 2020 13:00 UTC 364d false
etcd-server May 15, 2020 13:00 UTC 364d false
front-proxy-client May 15, 2020 13:00 UTC 364d false
scheduler.conf May 15, 2020 13:03 UTC 364d false
该命令显示 /etc/kubernetes/pki 文件夹中的客户端证书以及 kubeadm 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间。
另外, kubeadm 会通知用户证书是否由外部管理; 在这种情况下,用户应该小心的手动/使用其他工具来管理证书更新。
警告: `kubeadm` 不能管理由外部 CA 签名的证书
注意: 上面的列表中没有包含 `kubelet.conf` 因为 kubeadm 将 kubelet 配置为自动更新证书。
自动更新证书
kubeadm 会在控制面板升级的时候更新所有证书
这个功能旨在解决最简单的用例;如果您对此类证书的更新没有特殊要求,并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年),则 kubeadm 将确保您的集群保持最新状态并保持合理的安全性。
注意: 最佳的做法是经常升级集群以确保安全。
如果您对证书更新有更复杂的需求,则可通过将 --certificate-renewal=false 传递给 kubeadm upgrade apply 或者 kubeadm upgrade node ,从而选择不采用默认行为。
手动更新证书
您能随时通过 kubeadm alpha certs renew 命令手动更新您的证书。
这个命令用 CA (或者 front-proxy-CA )证书和存储在 /etc/kubernetes/pki 中的密钥执行更新。
警告: 如果您运行了一个 HA 集群,这个命令需要在所有控制面板节点上执行。
注意: `alpha certs renew` 使用现有的证书作为属性 (Common Name、Organization、SAN 等) 的权威来源,而不是 kubeadm-config ConfigMap 。强烈建议使它们保持同步。
kubeadm alpha certs renew 提供下列选项
Kubernetes 证书通常在一年后到期。
--csr-only可用于经过一个外部 CA 生成的证书签名请求来更新证书(无需实际替换更新证书);更多信息请参见下一段。
- 也可以更新单个证书而不是全部证书。
用 Kubernetes 证书 API 更新证书
本节提供有关如何使用 Kubernetes 证书 API 执行手动证书更新的更多详细信息。
警告:这些是针对需要将其组织的证书基础结构集成到 kubeadm 构建的集群中的用户的高级主题。如果默认的 kubeadm 配置满足了您的需求,则应让 kubeadm 管理证书。
设置一个签名者
Kubernetes 证书颁发机构不是开箱即用。
您可以配置外部签名者,例如 cert-manager ,也可以使用内置签名者。
内置签名者是 kube-controller-manager 的一部分。
要激活内置签名者,请传递--cluster-signing-cert-file 和 --cluster-signing-key-file参数。
这个内置签名者是 kube-controller-manager 的一部分。
要激活内置签名者,必须传递 --cluster-signing-cert-file 和 --cluster-signing-key-file 参数。
如果您正在正在创建一个新的集群,您可以使用 kubeadm 的 配置文件
apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
controllerManager:
extraArgs:
cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt
cluster-signing-key-file: /etc/kubernetes/pki/ca.key
创建证书签名请求 (CSR)
您能用 kubeadm alpha certs renew --use-api 为 Kubernetes 证书 API 创建一个证书签名请求。
如果您设置例如 [cert-manager][cert-manager] 等外部签名者,则会自动批准证书签名请求(CSRs)。
否者,您必须使用 kubectl certificate 命令手动批准证书。
以下 kubeadm 命令输出要批准的证书名称,然后缓慢等待批准发生:
sudo kubeadm alpha certs renew apiserver --use-api &
输出类似于以下内容:
[1] 2890
[certs] certificate request "kubeadm-cert-kube-apiserver-ld526" created
批准证书签名请求 (CSR)
如果您设置了一个外部签名者, 证书签名请求 (CSRs) 会自动被批准。
否则,您必须用 kubectl certificate 命令手动批准证书,例如
kubectl certificate approve kubeadm-cert-kube-apiserver-ld526
输出类似于以下内容:
certificatesigningrequest.certificates.k8s.io/kubeadm-cert-kube-apiserver-ld526 approved
您可以使用 kubectl get csr 查看待处理证书列表。
通过外部 CA 更新证书
本节提供有关如何使用外部 CA 执行手动更新证书的更多详细信息。
为了更好的与外部 CA 集成,kubeadm 还可以生成证书签名请求(CSR)。 CSR 表示向 CA 请求客户的签名证书。 在 kubeadm 术语中,通常由磁盘 CA 签名的任何证书都可以作为 CSR 生成。但是,CA 不能作为 CSR 生成。
创建证书签名请求 (CSR)
您可以传入一个带有 --csr-dir 的目录,将 CRS 输出到指定位置。
如果未指定 --csr-dir ,则使用默认证书目录( /etc/kubernetes/pki )。
CSR 和随附的私钥都在输出中给出。签署证书后,必须将证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki)。
CSR 代表对 CA 的请求,要求获得客户端的签名证书。
您能用 kubeadm alpha certs renew --csr-only 创建一个证书签名请求。
输出中给出了 CSR 和随附的私钥;您可以输入目录名和 --csr-dir ,以将 CSR 输出到指定位置。
证书能用 kubeadm alpha certs renew --csr-only 更新。
在 kubeadm init ,通过 --csr-dir 能指定输出文件夹。
要使用新证书,请将签名的证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki )
一个 CSR 包含一个证书的名字,域和 IP, 但是未指定用法
颁发证书时, CA 有责任指定正确的证书用法 。
- 在
openssl中,这是通过openssl ca命令 完成的。 - 在
cfssl中,这是通过 在配置文件中指定用法 来完成的。
使用首选方法对证书签名后,必须将证书和私钥复制到 PKI 目录(默认为 /etc/kubernetes/pki )。