PKI 证书和要求

Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes, 则会自动生成集群所需的证书。 你也可以自己生成证书 —- 例如,不将私钥存储在 API 服务器上, 可以让私钥更加安全。此页面说明了集群必需的证书。

集群是如何使用证书的

Kubernetes 需要 PKI 才能执行以下操作:

服务器证书

  • API 服务器端点的证书
  • etcd 服务器的服务器证书
  • 每个 kubelet 的服务器证书(每个节点运行一个 kubelet)
  • 可选的前端代理的服务器证书

客户端证书

  • 针对每个 kubelet 的客户端证书,用于 API 服务器作为 Kubernetes API 的客户端进行身份验证
  • 每个 API 服务器的客户端证书,用于向 etcd 进行身份验证
  • 控制器管理器与 API 服务器进行安全通信的客户端证书
  • 调度程序与 API 服务器进行安全通信的客户端证书
  • 客户端证书(每个节点一个),用于 kube-proxy 向 API 服务器进行身份验证
  • 集群管理员向 API 服务器进行身份验证的可选客户端证书
  • 前端代理的可选客户端证书

kubelet 的服务器和客户端证书

为了建立安全连接并向 kubelet 进行身份验证,API 服务器需要客户端证书和密钥对。

在此场景中,证书的使用有两种方法:

  • 共享证书:kube-apiserver 可以使用与验证其客户端相同的证书和密钥对。 这意味着现有证书(例如 apiserver.crtapiserver.key)可用于与 kubelet 服务器进行通信。

  • 单独的证书:或者,kube-apiserver 可以生成新的客户端证书和密钥对,以验证其与 kubelet 服务器的通信。 在这种情况下,将创建一个名为 kubelet-client.crt 的不同证书及其对应的私钥 kubelet-client.key

说明:

只有当你运行 kube-proxy 并要支持扩展 API 服务器时, 才需要 front-proxy 证书。

etcd 还实现了双向 TLS 来对客户端和对其他对等节点进行身份验证。

证书存储位置

假如你通过 kubeadm 安装 Kubernetes,大多数证书会被存储在 /etc/kubernetes/pki 中。 本文档中的所有路径都是相对于该目录的,但用户账号证书除外,kubeadm 将其放在 /etc/kubernetes 中。

手动配置证书

如果你不想通过 kubeadm 生成所需证书,你可以使用一个单根 CA 来创建这些证书,或者直接提供所有证书。 参见证书以进一步了解如何创建自己的证书授权机构。 更多关于管理证书的信息,请参阅使用 kubeadm 进行证书管理

单根 CA

你可以创建由管理员控制的单根 CA。这个根 CA 可以创建多个中间 CA, 并将所有进一步的创建委托给 Kubernetes 本身。

需要这些 CA:

路径默认 CN描述
ca.crt、keykubernetes-caKubernetes 通用 CA
etcd/ca.crt、keyetcd-ca与 etcd 相关的所有功能
front-proxy-ca.crt、keykubernetes-front-proxy-ca用于前端代理

上面的 CA 之外,还需要获取用于服务账号管理的密钥对,也就是 sa.keysa.pub。 下面的例子说明了上表中所示的 CA 密钥和证书文件。

  1. /etc/kubernetes/pki/ca.crt
  2. /etc/kubernetes/pki/ca.key
  3. /etc/kubernetes/pki/etcd/ca.crt
  4. /etc/kubernetes/pki/etcd/ca.key
  5. /etc/kubernetes/pki/front-proxy-ca.crt
  6. /etc/kubernetes/pki/front-proxy-ca.key

所有的证书

如果你不想将 CA 的私钥拷贝至你的集群中,你也可以自己生成全部的证书。

需要这些证书:

默认 CN父级 CAO(位于 Subject 中)kind主机(SAN)
kube-etcdetcd-caserver、client<hostname><Host_IP>localhost127.0.0.1
kube-etcd-peeretcd-caserver、client<hostname><Host_IP>localhost127.0.0.1
kube-etcd-healthcheck-clientetcd-caclient
kube-apiserver-etcd-clientetcd-caclient
kube-apiserverkubernetes-caserver<hostname><Host_IP><advertise_IP>1
kube-apiserver-kubelet-clientkubernetes-casystem:mastersclient
front-proxy-clientkubernetes-front-proxy-caclient

说明:

不使用超级用户组 system:masters 来控制 kube-apiserver-kubelet-client, 可以使用一个权限较低的组。kubeadm 使用 kubeadm:cluster-admins 组来达到这个目的。

其中 kind 对应一种或多种类型的 x509 密钥用途,也可记录在 CertificateSigningRequest 类型的 .spec.usages 中:

kind密钥用途
server数字签名、密钥加密、服务端认证
client数字签名、密钥加密、客户端认证

说明:

上面列出的 Host/SAN 是获取工作集群的推荐配置方式; 如果需要特殊安装,则可以在所有服务器证书上添加其他 SAN。

说明:

对于 kubeadm 用户:

  • 不使用私钥并将证书复制到集群 CA 的方案,在 kubeadm 文档中将这种方案称为外部 CA。
  • 如果将上表与 kubeadm 生成的 PKI 进行比较,你会注意到,如果使用外部 etcd,则不会生成 kube-etcdkube-etcd-peerkube-etcd-healthcheck-client 证书。

证书路径

证书应放置在建议的路径中(以便 kubeadm 使用)。无论使用什么位置,都应使用给定的参数指定路径。

默认 CN建议的密钥路径建议的证书路径命令密钥参数证书参数
etcd-caetcd/ca.keyetcd/ca.crtkube-apiserver—etcd-cafile
kube-apiserver-etcd-clientapiserver-etcd-client.keyapiserver-etcd-client.crtkube-apiserver—etcd-keyfile—etcd-certfile
kubernetes-caca.keyca.crtkube-apiserver—client-ca-file
kubernetes-caca.keyca.crtkube-controller-manager—cluster-signing-key-file—client-ca-file, —root-ca-file, —cluster-signing-cert-file
kube-apiserverapiserver.keyapiserver.crtkube-apiserver—tls-private-key-file—tls-cert-file
kube-apiserver-kubelet-clientapiserver-kubelet-client.keyapiserver-kubelet-client.crtkube-apiserver—kubelet-client-key—kubelet-client-certificate
front-proxy-cafront-proxy-ca.keyfront-proxy-ca.crtkube-apiserver—requestheader-client-ca-file
front-proxy-cafront-proxy-ca.keyfront-proxy-ca.crtkube-controller-manager—requestheader-client-ca-file
front-proxy-clientfront-proxy-client.keyfront-proxy-client.crtkube-apiserver—proxy-client-key-file—proxy-client-cert-file
etcd-caetcd/ca.keyetcd/ca.crtetcd—trusted-ca-file, —peer-trusted-ca-file
kube-etcdetcd/server.keyetcd/server.crtetcd—key-file—cert-file
kube-etcd-peeretcd/peer.keyetcd/peer.crtetcd—peer-key-file—peer-cert-file
etcd-caetcd/ca.crtetcdctl—cacert
kube-etcd-healthcheck-clientetcd/healthcheck-client.keyetcd/healthcheck-client.crtetcdctl—key—cert

注意事项同样适用于服务账号密钥对:

私钥路径公钥路径命令参数
sa.keykube-controller-manager—service-account-private-key-file
sa.pubkube-apiserver—service-account-key-file

下面的例子展示了自行生成所有密钥和证书时所需要提供的文件路径。 这些路径基于前面的表格

  1. /etc/kubernetes/pki/etcd/ca.key
  2. /etc/kubernetes/pki/etcd/ca.crt
  3. /etc/kubernetes/pki/apiserver-etcd-client.key
  4. /etc/kubernetes/pki/apiserver-etcd-client.crt
  5. /etc/kubernetes/pki/ca.key
  6. /etc/kubernetes/pki/ca.crt
  7. /etc/kubernetes/pki/apiserver.key
  8. /etc/kubernetes/pki/apiserver.crt
  9. /etc/kubernetes/pki/apiserver-kubelet-client.key
  10. /etc/kubernetes/pki/apiserver-kubelet-client.crt
  11. /etc/kubernetes/pki/front-proxy-ca.key
  12. /etc/kubernetes/pki/front-proxy-ca.crt
  13. /etc/kubernetes/pki/front-proxy-client.key
  14. /etc/kubernetes/pki/front-proxy-client.crt
  15. /etc/kubernetes/pki/etcd/server.key
  16. /etc/kubernetes/pki/etcd/server.crt
  17. /etc/kubernetes/pki/etcd/peer.key
  18. /etc/kubernetes/pki/etcd/peer.crt
  19. /etc/kubernetes/pki/etcd/healthcheck-client.key
  20. /etc/kubernetes/pki/etcd/healthcheck-client.crt
  21. /etc/kubernetes/pki/sa.key
  22. /etc/kubernetes/pki/sa.pub

为用户账号配置证书

你必须手动配置以下管理员账号和服务账号:

文件名凭据名称默认 CNO (位于 Subject 中)
admin.confdefault-adminkubernetes-admin<admin-group>
super-admin.confdefault-super-adminkubernetes-super-adminsystem:masters
kubelet.confdefault-authsystem:node:<nodeName>(参阅注释)system:nodes
controller-manager.confdefault-controller-managersystem:kube-controller-manager
scheduler.confdefault-schedulersystem:kube-scheduler

说明:

kubelet.conf<nodeName> 的值必须与 kubelet 向 apiserver 注册时提供的节点名称的值完全匹配。 有关更多详细信息,请阅读节点授权

说明:

在上面的例子中,<admin-group> 是实现特定的。 一些工具在默认的 admin.conf 中签署证书,以成为 system:masters 组的一部分。 system:masters 是一个紧急情况下的超级用户组,可以绕过 Kubernetes 的授权层,如 RBAC。 另外,某些工具不会生成单独的 super-admin.conf 将证书绑定到这个超级用户组。

kubeadm 在 kubeconfig 文件中生成两个单独的管理员证书。 一个是在 admin.conf 中,带有 Subject: O = kubeadm:cluster-admins, CN = kubernetes-adminkubeadm:cluster-admins 是绑定到 cluster-admin ClusterRole 的自定义组。 这个文件在所有由 kubeadm 管理的控制平面机器上生成。

另一个是在 super-admin.conf 中,具有 Subject: O = system:masters, CN = kubernetes-super-admin。 这个文件只在调用了 kubeadm init 的节点上生成。

  1. 对于每个配置,请都使用给定的通用名称(CN)和组织(O)生成 x509 证书/密钥对。

  2. 为每个配置运行下面的 kubectl 命令:

    1. KUBECONFIG=<文件名> kubectl config set-cluster default-cluster --server=https://<主机ip>:6443 --certificate-authority <kubernetes-ca路径> --embed-certs
    2. KUBECONFIG=<文件名> kubectl config set-credentials <凭据名称> --client-key <密钥路径>.pem --client-certificate <证书路径>.pem --embed-certs
    3. KUBECONFIG=<文件名> kubectl config set-context default-system --cluster default-cluster --user <凭据名称>
    4. KUBECONFIG=<文件名> kubectl config use-context default-system

这些文件用途如下:

文件名命令说明
admin.confkubectl配置集群的管理员
super-admin.confkubectl为集群配置超级管理员用户
kubelet.confkubelet集群中的每个节点都需要一份
controller-manager.confkube-controller-manager必须添加到 manifests/kube-controller-manager.yaml 清单中
scheduler.confkube-scheduler必须添加到 manifests/kube-scheduler.yaml 清单中

下面是前表中所列文件的完整路径。

  1. /etc/kubernetes/admin.conf
  2. /etc/kubernetes/super-admin.conf
  3. /etc/kubernetes/kubelet.conf
  4. /etc/kubernetes/controller-manager.conf
  5. /etc/kubernetes/scheduler.conf

  1. 用来连接到集群的不同 IP 或 DNS 名称 (就像 kubeadm 为负载均衡所使用的固定 IP 或 DNS 名称:kuberneteskubernetes.defaultkubernetes.default.svckubernetes.default.svc.clusterkubernetes.default.svc.cluster.local)。 ↩︎