溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Kubernetes證書相關(guān)(CFSSL)

發(fā)布時間:2020-07-01 15:45:21 來源:網(wǎng)絡(luò) 閱讀:308 作者:Aubin 欄目:云計算

Kubernetes證書相關(guān)(CFSSL)

CFSSL是CloudFlare開源的一款PKI/TLS工具。 CFSSL 包含一個命令行工具 和一個用于 簽名,驗證并且捆綁TLS證書的 HTTP API 服務(wù)。 使用Go語言編寫。

Github 地址:?https://github.com/cloudflare/cfssl
官網(wǎng)地址:?https://pkg.cfssl.org/
參考地址:liuzhengwei521

curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x /bin/cfssl*

集群相關(guān)證書類型

client certificate: 用于服務(wù)端認證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
server certificate: 服務(wù)端使用,客戶端以此驗證服務(wù)端身份,例如docker服務(wù)端、kube-apiserver
peer certificate: 雙向證書,用于etcd集群成員間通信

根據(jù)認證對象可以將證書分成三類:服務(wù)器證書server cert,客戶端證書client cert,對等證書peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的證書種類如下:

  • etcd 節(jié)點需要標識自己服務(wù)的server cert,也需要client cert與etcd集群其他節(jié)點交互,當然可以分別指定2個證書,也可以使用一個對等證書
  • master 節(jié)點需要標識 apiserver服務(wù)的server cert,也需要client cert連接etcd集群,這里也使用一個對等證書
  • kubectl calico kube-proxy 只需要client cert,因此證書請求中 hosts 字段可以為空
  • kubelet證書比較特殊,不是手動生成,它由node節(jié)點TLS BootStrapapiserver請求,由master節(jié)點的controller-manager 自動簽發(fā),包含一個client cert 和一個server cert

創(chuàng)建CA配置文件

配置證書生成策略,規(guī)定CA可以頒發(fā)那種類型的證書

vim /opt/ssl/k8sca/ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

創(chuàng)建CA證書簽名請求

vim /opt/ssl/k8sca/?ca-csr.json

{
"CN": "kubernetes",
"key": {
    "algo": "rsa",
    "size": 2048
},
"names": [
    {
        "C": "CN",
        "L": "BeiJing",
        "O": "Ctyun",
        "ST": "BeiJing",            
        "OU": "ops"
    }    ]
}

生成CA和私鑰

生成CA所必需的文件ca-key.pem(私鑰)和ca.pem(證書),還會生成ca.csr(證書簽名請求),用于交叉簽名或重新簽名。

$ cd /opt/ssl/k8sca/
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem
向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI