PKI 证书和要求
Kubernetes 需要 PKI 证书以便通过 TLS 进行身份验证。如果您使用 kubeadm 安装 Kubernetes,您的集群所需的证书会自动生成。您也可以生成自己的证书,例如,通过不将私钥存储在 API 服务器上来保证私钥更加安全。此页面解释您的集群所需的证书。
集群如何使用证书
Kubernetes 需要 PKI 来进行以下操作
服务器证书
客户端证书
- 每个 kubelet 的客户端证书,用于作为 Kubernetes API 的客户端向 API 服务器进行身份验证
- 每个 API 服务器的客户端证书,用于向 etcd 进行身份验证
- 控制器管理器用于与 API 服务器安全通信的客户端证书
- 调度器用于与 API 服务器安全通信的客户端证书
- 客户端证书,每个节点一个,供 kube-proxy 向 API 服务器进行身份验证
- 集群管理员用于向 API 服务器进行身份验证的可选客户端证书
- 前端代理的可选客户端证书
Kubelet 的服务器和客户端证书
为了建立安全连接并向 kubelet 进行身份验证,API 服务器需要客户端证书和密钥对。
在此场景中,有两种证书使用方法
共享证书:kube-apiserver 可以使用它用来对客户端进行身份验证的相同证书和密钥对。这意味着可以使用现有的证书,例如 `apiserver.crt` 和 `apiserver.key`,来与 kubelet 服务器通信。
单独证书:或者,kube-apiserver 可以生成新的客户端证书和密钥对,以验证其与 kubelet 服务器的通信。在这种情况下,会创建一个名为 `kubelet-client.crt` 的单独证书及其对应的私钥 `kubelet-client.key`。
注意
只有在运行 kube-proxy 以支持扩展 API 服务器时才需要 `front-proxy` 证书。etcd 也实现相互 TLS 来对客户端和对等方进行身份验证。
证书的存储位置
如果您使用 kubeadm 安装 Kubernetes,则大多数证书存储在 `/etc/kubernetes/pki` 中。此文档中的所有路径都相对于该目录,但 kubeadm 放置在 `/etc/kubernetes` 中的用户帐户证书除外。
手动配置证书
如果您不想让 kubeadm 生成所需的证书,则可以使用单个根 CA 或提供所有证书来创建它们。有关创建自己的证书颁发机构的详细信息,请参阅证书。有关管理证书的更多信息,请参阅使用 kubeadm 进行证书管理。
单根 CA
您可以创建一个由管理员控制的单根 CA。然后,此根 CA 可以创建多个中间 CA,并将所有进一步的创建委托给 Kubernetes 本身。
所需 CA
| 路径 | 默认 CN | 描述 |
|---|---|---|
| ca.crt,key | kubernetes-ca | Kubernetes 通用 CA |
| etcd/ca.crt,key | etcd-ca | 用于所有与 etcd 相关的函数 |
| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | 用于前端代理 |
除了上述 CA 之外,还需要获取一个用于服务帐户管理的公钥/私钥对 `sa.key` 和 `sa.pub`。以下示例说明了上表中显示的 CA 密钥和证书文件
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-ca.key
所有证书
如果您不想将 CA 私钥复制到集群中,则可以自行生成所有证书。
所需证书
| 默认 CN | 父 CA | O(在主题中) | 类型 | 主机 (SAN) |
|---|---|---|---|---|
| kube-etcd | etcd-ca | 服务器,客户端 | <hostname>、<Host_IP>、localhost、127.0.0.1 | |
| kube-etcd-peer | etcd-ca | 服务器,客户端 | <hostname>、<Host_IP>、localhost、127.0.0.1 | |
| kube-etcd-healthcheck-client | etcd-ca | 客户端 | ||
| kube-apiserver-etcd-client | etcd-ca | 客户端 | ||
| kube-apiserver | kubernetes-ca | 服务器 | <hostname>, <Host_IP>, <advertise_IP>1 | |
| kube-apiserver-kubelet-client | kubernetes-ca | system:masters | 客户端 | |
| front-proxy-client | kubernetes-front-proxy-ca | 客户端 |
注意
除了使用超级用户组 `system:masters` 作为 `kube-apiserver-kubelet-client` 之外,还可以使用权限较低的组。kubeadm 为此目的使用 `kubeadm:cluster-admins` 组。其中 `kind` 映射到一个或多个 x509 密钥用法,这也在CertificateSigningRequest类型的 `.spec.usages` 中进行了说明
| 类型 | 密钥用法 |
|---|---|
| 服务器 | 数字签名、密钥加密、服务器身份验证 |
| 客户端 | 数字签名、密钥加密、客户端身份验证 |
注意
上面列出的主机/SAN 是获得正常运行的集群的推荐主机/SAN;如果特定设置需要,可以在所有服务器证书上添加额外的 SAN。注意
仅适用于 kubeadm 用户
- 在 kubeadm 文档中,将不带私钥的 CA 证书复制到集群中的场景称为外部 CA。
- 如果您将上述列表与 kubeadm 生成的 PKI 进行比较,请注意,在外部 etcd 的情况下,不会生成 `kube-etcd`、`kube-etcd-peer` 和 `kube-etcd-healthcheck-client` 证书。
证书路径
证书应放置在建议的路径中(如 kubeadm 所使用)。无论位置如何,都应使用给定的参数指定路径。
| 默认CN | recommendedkeypath | recommendedcertpath | 命令 | keyargument | certargument |
|---|---|---|---|---|---|
| etcd-ca | etcd/ca.key | etcd/ca.crt | kube-apiserver | --etcd-cafile | |
| kube-apiserver-etcd-client | apiserver-etcd-client.key | apiserver-etcd-client.crt | kube-apiserver | --etcd-keyfile | --etcd-certfile |
| kubernetes-ca | ca.key | ca.crt | kube-apiserver | --client-ca-file | |
| kubernetes-ca | ca.key | ca.crt | kube-controller-manager | --cluster-signing-key-file | --client-ca-file,--root-ca-file,--cluster-signing-cert-file |
| kube-apiserver | apiserver.key | apiserver.crt | kube-apiserver | --tls-private-key-file | --tls-cert-file |
| kube-apiserver-kubelet-client | apiserver-kubelet-client.key | apiserver-kubelet-client.crt | kube-apiserver | --kubelet-client-key | --kubelet-client-certificate |
| front-proxy-ca | front-proxy-ca.key | front-proxy-ca.crt | kube-apiserver | --requestheader-client-ca-file | |
| front-proxy-ca | front-proxy-ca.key | front-proxy-ca.crt | kube-controller-manager | --requestheader-client-ca-file | |
| front-proxy-client | front-proxy-client.key | front-proxy-client.crt | kube-apiserver | --proxy-client-key-file | --proxy-client-cert-file |
| etcd-ca | etcd/ca.key | etcd/ca.crt | etcd | --trusted-ca-file,--peer-trusted-ca-file | |
| kube-etcd | etcd/server.key | etcd/server.crt | etcd | --key-file | --cert-file |
| kube-etcd-peer | etcd/peer.key | etcd/peer.crt | etcd | --peer-key-file | --peer-cert-file |
| etcd-ca | etcd/ca.crt | etcdctl | --cacert | ||
| kube-etcd-healthcheck-client | etcd/healthcheck-client.key | etcd/healthcheck-client.crt | etcdctl | --key | --cert |
服务帐户密钥对也适用相同的考虑事项
| 私钥路径 | 公钥路径 | 命令 | 参数 |
|---|---|---|---|
| sa.key | kube-controller-manager | --service-account-private-key-file | |
| sa.pub | kube-apiserver | --service-account-key-file |
以下示例说明了上表中您在生成自己的所有密钥和证书时需要提供的文件路径
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/apiserver-etcd-client.key
/etc/kubernetes/pki/apiserver-etcd-client.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/apiserver.key
/etc/kubernetes/pki/apiserver.crt
/etc/kubernetes/pki/apiserver-kubelet-client.key
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/front-proxy-ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-client.key
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/etcd/server.key
/etc/kubernetes/pki/etcd/server.crt
/etc/kubernetes/pki/etcd/peer.key
/etc/kubernetes/pki/etcd/peer.crt
/etc/kubernetes/pki/etcd/healthcheck-client.key
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/sa.key
/etc/kubernetes/pki/sa.pub
为用户帐户配置证书
您必须手动配置这些管理员帐户和服务帐户
| 文件名 | 凭据名称 | 默认 CN | O(在主题中) |
|---|---|---|---|
| admin.conf | default-admin | kubernetes-admin | <admin-group> |
| super-admin.conf | default-super-admin | kubernetes-super-admin | system:masters |
| kubelet.conf | default-auth | system:node:<nodeName> (见注) | system:nodes |
| controller-manager.conf | default-controller-manager | system:kube-controller-manager | |
| scheduler.conf | default-scheduler | system:kube-scheduler |
注意
在上面的示例中,<admin-group> 是特定于实现的。一些工具会在默认的 admin.conf 中对证书进行签名,使其成为 system:masters 组的一部分。system:masters 是一个紧急情况下使用的超级用户组,可以绕过 Kubernetes 的授权层,例如 RBAC。此外,一些工具不会生成一个单独的 super-admin.conf,其中包含绑定到此超级用户组的证书。
kubeadm 在 kubeconfig 文件中生成两个单独的管理员证书。一个位于 admin.conf 中,具有 Subject: O = kubeadm:cluster-admins, CN = kubernetes-admin。kubeadm:cluster-admins 是一个绑定到 cluster-admin ClusterRole 的自定义组。此文件在所有 kubeadm 管理的控制平面机器上生成。
另一个位于 super-admin.conf 中,具有 Subject: O = system:masters, CN = kubernetes-super-admin。此文件仅在调用 kubeadm init 的节点上生成。
对于每个配置,生成一个具有给定通用名称 (CN) 和组织 (O) 的 x509 证书/密钥对。
对于每个配置,按如下方式运行
kubectlKUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name> KUBECONFIG=<filename> kubectl config use-context default-system
这些文件按如下方式使用
| 文件名 | 命令 | 注释 |
|---|---|---|
| admin.conf | kubectl | 为集群配置管理员用户 |
| super-admin.conf | kubectl | 为集群配置超级管理员用户 |
| kubelet.conf | kubelet | 集群中的每个节点都需要一个。 |
| controller-manager.conf | kube-controller-manager | 必须添加到 manifests/kube-controller-manager.yaml 中的清单文件中 |
| scheduler.conf | kube-scheduler | 必须添加到 manifests/kube-scheduler.yaml 中的清单文件中 |
以下文件说明了上表中列出的文件的完整路径
/etc/kubernetes/admin.conf
/etc/kubernetes/super-admin.conf
/etc/kubernetes/kubelet.conf
/etc/kubernetes/controller-manager.conf
/etc/kubernetes/scheduler.conf