使用 kubeadm 进行证书管理
FEATURE STATE: Kubernetes v1.15
稳定
该功能是“稳定的”,意味着:
- 版本名是 vX,其中 X 是整数。
- 该功能将出现在多个后续释出的软件稳定版中。
由 kubeadm 生成的客户端证书在 1 年后到期。 本页说明如何使用 kubeadm 管理证书续订。
准备开始
您应该熟悉Kubernetes 中的 PKI 证书和要求。
检查证书是否过期
check-expiration
能被用来检查证书是否过期
kubeadm alpha certs check-expiration
输出类似于以下内容:
CERTIFICATE EXPIRES RESIDUAL TIME EXTERNALLY MANAGED
admin.conf May 15, 2020 13:03 UTC 364d false
apiserver May 15, 2020 13:00 UTC 364d false
apiserver-etcd-client May 15, 2020 13:00 UTC 364d false
apiserver-kubelet-client May 15, 2020 13:00 UTC 364d false
controller-manager.conf May 15, 2020 13:03 UTC 364d false
etcd-healthcheck-client May 15, 2020 13:00 UTC 364d false
etcd-peer May 15, 2020 13:00 UTC 364d false
etcd-server May 15, 2020 13:00 UTC 364d false
front-proxy-client May 15, 2020 13:00 UTC 364d false
scheduler.conf May 15, 2020 13:03 UTC 364d false
该命令显示 /etc/kubernetes/pki
文件夹中的客户端证书以及 kubeadm 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间。
另外, kubeadm 会通知用户证书是否由外部管理; 在这种情况下,用户应该小心的手动/使用其他工具来管理证书更新。
警告:
kubeadm
不能管理由外部 CA 签名的证书注意: 上面的列表中没有包含
kubelet.conf
因为 kubeadm 将 kubelet 配置为自动更新证书。
自动更新证书
kubeadm
会在控制面板升级的时候更新所有证书
这个功能旨在解决最简单的用例;如果您对此类证书的更新没有特殊要求,并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年),则 kubeadm 将确保您的集群保持最新状态并保持合理的安全性。
注意: 最佳的做法是经常升级集群以确保安全。
如果您对证书更新有更复杂的需求,则可通过将 --certificate-renewal=false
传递给 kubeadm upgrade apply
或者 kubeadm upgrade node
,从而选择不采用默认行为。
手动更新证书
您能随时通过 kubeadm alpha certs renew
命令手动更新您的证书。
这个命令用 CA (或者 front-proxy-CA )证书和存储在 /etc/kubernetes/pki
中的密钥执行更新。
警告: 如果您运行了一个 HA 集群,这个命令需要在所有控制面板节点上执行。
注意:
alpha certs renew
使用现有的证书作为属性 (Common Name、Organization、SAN 等) 的权威来源,而不是 kubeadm-config ConfigMap 。强烈建议使它们保持同步。
kubeadm alpha certs renew
提供下列选项
Kubernetes 证书通常在一年后到期。
--csr-only
可用于经过一个外部 CA 生成的证书签名请求来更新证书(无需实际替换更新证书);更多信息请参见下一段。也可以更新单个证书而不是全部证书。
用 Kubernetes 证书 API 更新证书
本节提供有关如何使用 Kubernetes 证书 API 执行手动证书更新的更多详细信息。
警告:
这些是针对需要将其组织的证书基础结构集成到 kubeadm 构建的集群中的用户的高级主题。如果默认的 kubeadm 配置满足了您的需求,则应让 kubeadm 管理证书。
设置一个签名者
Kubernetes 证书颁发机构不是开箱即用。 您可以配置外部签名者,例如 cert-manager ,也可以使用内置签名者。 内置签名者是 kube-controller-manager
的一部分。 要激活内置签名者,请传递--cluster-signing-cert-file
和 --cluster-signing-key-file
参数。
这个内置签名者是 kube-controller-manager
的一部分。
要激活内置签名者,必须传递 --cluster-signing-cert-file
和 --cluster-signing-key-file
参数。
如果您正在正在创建一个新的集群,您可以使用 kubeadm 的 配置文件
apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
controllerManager:
extraArgs:
cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt
cluster-signing-key-file: /etc/kubernetes/pki/ca.key
创建证书签名请求 (CSR)
您能用 kubeadm alpha certs renew --use-api
为 Kubernetes 证书 API 创建一个证书签名请求。
如果您设置例如 [cert-manager][cert-manager] 等外部签名者,则会自动批准证书签名请求(CSRs)。 否者,您必须使用 kubectl certificate
命令手动批准证书。 以下 kubeadm 命令输出要批准的证书名称,然后缓慢等待批准发生:
sudo kubeadm alpha certs renew apiserver --use-api &
输出类似于以下内容:
[1] 2890
[certs] certificate request "kubeadm-cert-kube-apiserver-ld526" created
批准证书签名请求 (CSR)
如果您设置了一个外部签名者, 证书签名请求 (CSRs) 会自动被批准。
否则,您必须用 kubectl certificate
命令手动批准证书,例如
kubectl certificate approve kubeadm-cert-kube-apiserver-ld526
输出类似于以下内容:
certificatesigningrequest.certificates.k8s.io/kubeadm-cert-kube-apiserver-ld526 approved
您可以使用 kubectl get csr
查看待处理证书列表。
通过外部 CA 更新证书
本节提供有关如何使用外部 CA 执行手动更新证书的更多详细信息。
为了更好的与外部 CA 集成,kubeadm 还可以生成证书签名请求(CSR)。 CSR 表示向 CA 请求客户的签名证书。 在 kubeadm 术语中,通常由磁盘 CA 签名的任何证书都可以作为 CSR 生成。但是,CA 不能作为 CSR 生成。
创建证书签名请求 (CSR)
您可以传入一个带有 --csr-dir
的目录,将 CRS 输出到指定位置。 如果未指定 --csr-dir
,则使用默认证书目录( /etc/kubernetes/pki
)。 CSR 和随附的私钥都在输出中给出。签署证书后,必须将证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki
)。
CSR 代表对 CA 的请求,要求获得客户端的签名证书。
您能用 kubeadm alpha certs renew --csr-only
创建一个证书签名请求。
输出中给出了 CSR 和随附的私钥;您可以输入目录名和 --csr-dir
,以将 CSR 输出到指定位置。
证书能用 kubeadm alpha certs renew --csr-only
更新。
在 kubeadm init
,通过 --csr-dir
能指定输出文件夹。
要使用新证书,请将签名的证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki
)
一个 CSR 包含一个证书的名字,域和 IP, 但是未指定用法
颁发证书时, CA 有责任指定正确的证书用法 。
- 在
openssl
中,这是通过openssl ca
命令 完成的。 - 在
cfssl
中,这是通过 在配置文件中指定用法 来完成的。
使用首选方法对证书签名后,必须将证书和私钥复制到 PKI 目录(默认为 /etc/kubernetes/pki
)。