利用 CSR API 创建用户
k8s 支持 CSR API,通过创建 CertificateSigningRequest
资源就可以发起 CSR 请求,管理员审批通过之后 kube-controller-manager
就会为我们签发证书,确保 kube-controller-manager
配了根证书密钥对:
--cluster-signing-cert-file=/var/lib/kubernetes/ca.pem
--cluster-signing-key-file=/var/lib/kubernetes/ca-key.pem
创建步骤
我们用 cfssl 来创建 key 和 csr 文件,所以需要先安装 cfssl:
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o cfssl-certinfo
chmod +x cfssl cfssljson cfssl-certinfo
sudo mv cfssl cfssljson cfssl-certinfo /usr/local/bin/
指定要创建的用户名:
USERNAME="roc"
再创建 key 和 csr 文件:
cat <<EOF | cfssl genkey - | cfssljson -bare ${USERNAME}
{
"CN": "${USERNAME}",
"key": {
"algo": "rsa",
"size": 2048
}
}
EOF
生成以下文件:
roc.csr
roc-key.pem
创建 CertificateSigningRequest
(发起 CSR 请求):
cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
name: ${USERNAME}
spec:
request: $(cat ${USERNAME}.csr | base64 | tr -d '\n')
usages:
- digital signature
- key encipherment
- client auth
EOF
管理员审批 CSR 请求:
# 查看 csr
# kubectl get csr
# 审批 csr
kubectl certificate approve ${USERNAME}
获取证书:
kubectl get csr ${USERNAME} -o jsonpath={.status.certificate} | base64 --decode > ${USERNAME}.pem
得到证书文件:
roc.pem
至此,我们已经创建好了用户,用户的证书密钥对文件:
roc.pem
roc-key.pem
配置 kubeconfig
# 增加 user
kubectl config set-credentials ${USERNAME} --embed-certs=true --client-certificate=${USERNAME}.pem --client-key=${USERNAME}-key.pem
# 如果还没配 cluster,可以通过下面命令配一下
kubectl config set-cluster <cluster> --server=<apiserver-url> --certificate-authority=<ca-cert-file>
# 增加 context,绑定 cluster 和 user
kubectl config set-context <context> --cluster=<cluster> --user=${USERNAME}
# 使用刚增加的 context
kubectl config use-context <context>
配置用户权限
我们可以用 RBAC 控制用户权限,参考 使用 RBAC 控制用户权限
参考资料
- Manage TLS Certificates in a Cluster: https://kubernetes.io/docs/tasks/tls/managing-tls-in-a-cluster/