managing-tls-in-a-cluster
weight: 84
title: 管理集群中的TLS
date: “2022-05-21T00:00:00+08:00”
type: book
在使用二进制文件部署
概览
每个certificates.k8s.io
集群中的TLS 信任
让tls.Config
结构中的 Certificates
字段中,/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
。如果您没有使用默认服务账户,请请求集群管理员构建包含您有权访问使用的证书包的
请求认证
以下部分演示如何为通过
下载安装SSL
创建证书签名请求
通过运行以下命令生成私钥和证书签名请求(或
$ cat <<EOF | cfssl genkey - | cfssljson -bare server
{
"hosts": [
"my-svc.my-namespace.svc.cluster.local",
"my-pod.my-namespace.pod.cluster.local",
"172.168.0.24",
"10.0.34.2"
],
"CN": "my-pod.my-namespace.pod.cluster.local",
"key": {
"algo": "ecdsa",
"size": 256
}
}
EOF
172.168.0.24
是my-svc.my-namespace.svc.cluster.local
是10.0.34.2
是my-pod.my-namespace.pod.cluster.local
是
2017/03/21 06:48:17 [INFO] generate received request
2017/03/21 06:48:17 [INFO] received CSR
2017/03/21 06:48:17 [INFO] generating key: ecdsa-256
2017/03/21 06:48:17 [INFO] encoded CSR
此命令生成两个文件;它生成包含server.csr
,以及包含仍然要创建的证书的server-key.pem
。
创建证书签名请求对象以发送到Kubernetes API
使用以下命令创建
$ cat <<EOF | kubectl create -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
name: my-svc.my-namespace
spec:
groups:
- system:authenticated
request: $(cat server.csr | base64 | tr -d '\n')
usages:
- digital signature
- key encipherment
- server auth
EOF
请注意,在步骤server.csr
文件是.spec.request
字段中。我们还要求提供 “数字签名”
在
$ kubectl describe csr my-svc.my-namespace
Name: my-svc.my-namespace
Labels: <none>
Annotations: <none>
CreationTimestamp: Tue, 21 Mar 2017 07:03:51 -0700
Requesting User: yourname@example.com
Status: Pending
Subject:
Common Name: my-svc.my-namespace.svc.cluster.local
Serial Number:
Subject Alternative Names:
DNS Names: my-svc.my-namespace.svc.cluster.local
IP Addresses: 172.168.0.24
10.0.34.2
Events: <none>
获取证书签名请求
批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次完成。有关这方面涉及的更多信息,请参见下文。
下载签名并使用
一旦
$ kubectl get csr
NAME AGE REQUESTOR CONDITION
my-svc.my-namespace 10m yourname@example.com Approved,Issued
你可以通过运行以下命令下载颁发的证书并将其保存到 server.crt
文件中:
$ kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
| base64 -d > server.crt
现在你可以用 server.crt
和 server-key.pem
来做为
批准证书签名请求
kubectl certificate approve
和 kubectl certificate deny
命令手动批准(或拒绝)证书签名请求。但是,如果您打算大量使用此
如果上述机器或人类使用
CSR 的主体控制用于签署CSR 的私钥。这解决了伪装成授权主体的第三方的威胁。在上述示例中,此步骤将验证该pod 控制了用于生成CSR 的私钥。CSR 的主体被授权在请求的上下文中执行。这解决了我们加入集群的我们不期望的主体的威胁。在上述示例中,此步骤将是验证该pod 是否被允许加入到所请求的服务中。
当且仅当满足这两个要求时,审批者应该批准
给集群管理员的一个建议
本教程假设将--cluster-signing-cert-file
和 --cluster-signing-key-file
参数传递给