Black lives matter.
We stand in solidarity with the Black community.
Racism is unacceptable.
It conflicts with the core values of the Kubernetes project and our community does not tolerate it.
We stand in solidarity with the Black community.
Racism is unacceptable.
It conflicts with the core values of the Kubernetes project and our community does not tolerate it.
Kubernetes提供一个 certificates.k8s.io
API,可让您配置
由您控制的证书颁发机构(CA)签名的TLS证书。 您的工作负载可以使用这些CA和证书来建立信任。
certificates.k8s.io
API使用的协议类似于ACME
草稿。
注意: 使用`certificates.k8s.io` API创建的证书由 指定 CA 颁发。 将集群配置为使用集群根目录 CA 可以达到这个目的,但是您永远不要依赖它。不要以为 这些证书将针对群根目录 CA 进行验证。
你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:
要获知版本信息,请输入kubectl version
.
让 Pod 中运行的应用程序信任集群根 CA 通常需要一些额外的应用程序配置。您将需要将 CA 证书包添加到 TLS 客户端或服务器信任的 CA 证书列表中。例如,您可以使用 golang TLS 配置通过解析证书链并将解析的证书添加到 tls.Config
结构中的 RootCAs
字段中。
CA 证书捆绑包将使用默认服务账户自动加载到 pod 中,路径为 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
。如果您没有使用默认服务账户,请请求集群管理员构建包含您有权访问使用的证书包的 configmap。
以下部分演示如何为通过 DNS 访问的 Kubernetes 服务创建 TLS 证书。
注意: 本教程使用 CFSSL:Cloudflare's PKI 和 TLS 工具包点击此处了解更多信息。
本例中使用的 cfssl 工具可以在 https://pkg.cfssl.org/ 下载。
通过运行以下命令生成私钥和证书签名请求(或 CSR):
cat <<EOF | cfssl genkey - | cfssljson -bare server
{
"hosts": [
"my-svc.my-namespace.svc.cluster.local",
"my-pod.my-namespace.pod.cluster.local",
"172.168.0.24",
"10.0.34.2"
],
"CN": "my-pod.my-namespace.pod.cluster.local",
"key": {
"algo": "ecdsa",
"size": 256
}
}
EOF
其中 172.168.0.24
是服务的集群 IP,my-svc.my-namespace.svc.cluster.local
是服务的 DNS 名称,10.0.34.2
是 pod 的 IP 和 my-pod.my-namespace.pod.cluster.local
是 pod 的 DNS 名称。您能看到以下的输出:
2017/03/21 06:48:17 [INFO] generate received request
2017/03/21 06:48:17 [INFO] received CSR
2017/03/21 06:48:17 [INFO] generating key: ecdsa-256
2017/03/21 06:48:17 [INFO] encoded CSR
该命令生成两个文件;它生成包含 PEM 编码 pkcs#10 认证请求的 server.csr
,以及包含证书的 PEM 编码密钥的 server-key.pem
还有待生成。
使用以下命令创建 CSR yaml 文件,并发送到 API server:
cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
name: my-svc.my-namespace
spec:
groups:
- system:authenticated
request: $(cat server.csr | base64 | tr -d '\n')
usages:
- digital signature
- key encipherment
- server auth
EOF
请注意,在步骤1中创建的 server.csr
文件是 base64 编码并存储在 .spec.request
字段中的,我们还要求提供 “数字签名”,“密钥加密” 和 “服务器身份验证” 密钥用途的证书。我们这里支持列出的所有关键用途和扩展的关键用途,以便您可以使用相同的 API 请求客户端证书和其他证书。
在 API server 中可以看到这些 CSR 处于 pending 状态。执行下面的命令您将可以看到:
kubectl describe csr my-svc.my-namespace
Name: my-svc.my-namespace
Labels: <none>
Annotations: <none>
CreationTimestamp: Tue, 21 Mar 2017 07:03:51 -0700
Requesting User: yourname@example.com
Status: Pending
Subject:
Common Name: my-svc.my-namespace.svc.cluster.local
Serial Number:
Subject Alternative Names:
DNS Names: my-svc.my-namespace.svc.cluster.local
IP Addresses: 172.168.0.24
10.0.34.2
Events: <none>
批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次性完成。有关这方面涉及的更多信息,请参见下文。
CSR 被签署并获得批准后,您应该看到以下内容:
kubectl get csr
NAME AGE REQUESTOR CONDITION
my-svc.my-namespace 10m yourname@example.com Approved,Issued
您可以通过运行以下命令下载颁发的证书并将其保存到 server.crt
文件中:
kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
| base64 --decode > server.crt
现在您可以将 server.crt
和 server-key.pem
作为键值对来启动 HTTPS 服务器。
Kubernetes 管理员(具有适当权限)可以使用 kubectl certificate approve
和 kubectl certificate deny
命令手动批准(或拒绝)证书签名请求。但是,如果您打算大量使用此 API,则可以考虑编写自动化的证书控制器。
无论上述机器或人使用 kubectl,批准者的作用是验证 CSR 满足如下两个要求:
当且仅当满足这两个要求时,审批者应该批准 CSR,否则拒绝 CSR。
批准 CSR 的能力决定谁信任群集中的谁。这包括 Kubernetes API 信任的人。批准 CSR 的能力不能过于广泛和轻率。在给予本许可之前,应充分了解上一节中提到的挑战和发布特定证书的后果。有关证书与认证交互的信息,请参阅此处。
本教程假设将签名者设置为服务证书 API。Kubernetes controller manager 提供了一个签名者的默认实现。 要启用它,请将--cluster-signing-cert-file
和 --cluster-signing-key-file
参数传递给 controller manager,并配置具有证书颁发机构的密钥对的路径。