kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。
环境:
Master:172.20.103.1
Node:172.20.103.2
基于CA签名的双向数字证书的生成过程如下:
为kube-apiserver生成一个数字证书,并用CA证书签名。
为kube-apiserver进程配置证书相关的启动参数,包括CA证书(用于验证客户端证书的签名真伪)、自己的经过CA签名后的证书及私钥。
为每个访问K8S API Server 的客户端(kube-controller-manager、kube-scheduler、kubelet、kube-proxy及调用API Server的客户端程序kubectl等)进程都可以生成自己的数字证书,也都用CA证书签名,在相关程序的启动参数里增加CA证书、自己的证书等相关参数。
设置kube-apiserver的CA证书相关的文件和启动参数
使用OpenSSL工具在Master服务器上创建CA证书和私钥相关的文件:
yum -y install openssl
cd /var/run/kubernetes/ (证书默认存放目录)
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=k8s-master" -days 5000 -out ca.crt
openssl genrsa -out server.key 2048
注意:在生成ca.crt时,-subj参数中“”/CN“”的值为Master主机名。
准备master_ssl.cnf文件,该文件用于x509 v3版本的证书。在该文件中主要需要设置Master服务器的hostname(k8s-master)、IP地址(172.20.103.1)、以及K8S Master Service 的虚拟服务名称(kubernetes.default 等)和该虚拟服务的ClusterIP地址(169.169.0.1)。
master_ssl.cnf 文件的配置如下:
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = k8s-master
IP.1 = 169.169.0.1
IP.2 = 172.20.103.1
基于master_ssl.cnf 创建server.csr 和 server.crt 文件。在生成server.csr 时,-subj参数中“”/CN“”的值需为Master的主机名:
openssl req -new -key server.key -subj "/CN=k8s-master" -config master_ssl.cnf -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt
在全部执行完后会生成6个文件:ca.crt ca.key ca.srl master_ssl.cnf server.crt server.csr server.key
然后设置kube-apiserver的三个启动参数"--client-ca-file","--tls-private-key-file","--tls-cert-file",分别代表CA根证书文件、服务端私钥文件、服务端证书文件:
--client-ca-file=/var/run/kubernetes/ca.crt
--tls-private-key-file=/var/run/kubernetes/server.key
--tls-cert-file=/var/run/kubernetes/server.crt
同时,可以关闭非安全端口(设置--insecure-port=0),设置安全端口为6443(默认值):
--insecure-port=0 --secure-port=6443
最后重启kube-apiserver服务
systemctl restart kube-apiserver
设置kube-controller-manager的客户端证书、私钥和启动参数
openssl genrsa -out cs_client.key 2048
openssl req -new -key cs_client.key -subj "/CN=k8s-master" -out cs_client.csr
openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cs_client.crt -days 5000
其中,在生成cs_client.crt时,-CA参数和-CAkey参数使用的是API Server的ca.crt和ca.key文件。
接下来创建/etc/kubernetes/kubeconfig 文件(kube-controller-manager与kube-scheduler共用),配置客户端证书等相关参数,内容如下:
vim /etc/kubernetes/kubeconfig
apiVersion: v1
kind: Config
users:
- name: controllermanager
user:
client-certificate: /var/run/kubernetes/cs_client.crt
client-key: /var/run/kubernetes/cs_client.key
clusters:
- name: local
cluster:
certificate-authority: /var/run/kubernetes/ca.crt
server: https://172.20.103.1:6443
contexts:
- context:
cluster: local
user: controllermanager
name: my-context
current-context: my-context
设置kube-controller-manager服务的启动参数:
--kubeconfig=/etc/kubernetes/kubeconfig
重启kube-controller-manager服务
systemctl restart kube-controller-manager
设置kube-scheduler服务的启动参数:
--kubeconfig=/etc/kubernetes/kubeconfig
重启kube-scheduler服务
systemctl restart kube-scheduler
设置每个Node上kubelet的客户端证书、私钥和启动参数
复制kube-apiserver的ca.crt和ca.key文件到node上,在生成kubelet_client.crt时-CA参数和- CAkey参数使用的是API Server的ca.crt和ca.key文件;生成kubelet_client.csr时,将-subj参数中的“”/CN“”设置为本机Node的IP地址。
在node上创建存放证书的目录:
mkdir /etc/kubernetes/ssl_keys
把master上的ca.crt和ca.key文件复制到node上:
scp ca.crt ca.key [email protected]:/etc/kubernetes/ssl_keys/
openssl genrsa -out kubelet_client.key 2048
openssl req -new -key kubelet_client.key -subj "/CN=172.20.103.2" -out kubelet_client.csr
openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000
接下来创建/etc/kubernetes/kubeconfig文件(kubelet和kube-proxy组件共用),配置客户端证书等相关参数,内容如下:
apiVersion: v1
kind: Config
users:
- name: kubelet
user:
client-certificate: /etc/kubernetes/ssl_keys/kubelet_client.crt
client-key: /etc/kubernetes/ssl_keys/kubelet_client.key
clusters:
- name: local
cluster:
certificate-authority: /etc/kubernetes/ssl_keys/ca.crt
server: https://172.20.103.2:6443
contexts:
- context:
cluster: local
user: kubelet
name: my-context
current-context: my-context
设置kubelet服务的启动参数:
--kubeconfig=/etc/kubernetes/kubeconfig
重启kubelet服务
systemctl restart kubelet
设置kube-proxy服务的启动参数:
--kubeconfig=/etc/kubernetes/kubeconfig
重启kube-proxy服务:
systemctl restart kube-proxy
至此,一个基于CA的双向数字证书认证的K8S集群环境就搭建完成了。
设置kubectl客户端使用安全方式访问API Server
在使用kubectl对K8S集群进行操作时,默认使用非安全端口8080对API Server进行访问,也可以设置为安全访问API Server的模式,需要设置3个证书相关的参数:
“”--certificate-authority“”,“”--client-certificate“”,“”--client-key“”,分别表示用于CA授权的证书,客户端证书和客户端秘钥。
--certificate-authority:使用为kube-apiserver生成的ca.crt文件。
--client-certificate:使用为kube-controller-manager生成的cs_client.crt文件。
--client-key:使用为kube-controller-manager生成的cs_client.key文件
同时,指定API Server的URL地址为HTTPS安全地址(例如:https://k8s-master:443),最后输入需要执行的子命令,即可对API Server进行安全访问了:
kubectl --server=https://172.20.103.1:6443 --certificate-authority=/var/run/kubernetes/ca.crt --client-certificate=/var/run/kubernetes/cs_client.crt --client-key=/var/run/kubernetes/cs_client.key get nodes