(2022版)一套教程搞定k8s安装到实战 | TLS Bootstrap初始化流程

视频来源:B站《(2022版)最新、最全、最详细的Kubernetes(K8s)教程,从K8s安装到实战一套搞定》

一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:(2022版)一套教程搞定k8s安装到实战 | 汇总_COCOgsta的博客-CSDN博客


Kubelet启动过程

  1. 查找kubecofig文件,文件一般位于/etc/kubernetes/kubelet.kubeconfig
  1. 从kubeconfig文件中检索APIServer的URL和证书
  1. 然后去和APIServer进行交互

查看kubelet.kubeconfig证书有效期:

首先对kubelet.kubeconfig的
certificate-authority-data字段进行解密:

[root@k8s-node02 kubernetes]# echo "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" | base64 --decode >/tmp/1
[root@k8s-node02 kubernetes]# 

然后使用OpenSSL即可查看证书过期时间:

[root@k8s-node02 kubernetes]# openssl x509 -in /tmp/1 -noout -dates
notBefore=Jun 21 12:58:00 2022 GMT
notAfter=May 28 12:58:00 2122 GMT
You have new mail in /var/spool/mail/root
[root@k8s-node02 kubernetes]# 

TLS Bootstrapping初始化流程

TLS Bootstrapping官网文档:
https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#initialization-process

  1. Kubelet自启动
  1. Kubelet查看kubelet.kubeconfig文件,假设没有这个文件
  1. Kubelet会查看本地的bootstrap-kubelet.kubeconfig
  1. Kubelet读取bootstrap-kubelet.kubeconfig文件,检索apiserver的url和一个token
  1. Kubelet连接apiserver,使用这个token进行认证ApiServer会识别token,apiserver会查看该tokenid对于的bootstrap的一个secret找到这个secret的一个字段,apiserver把这个token识别成一个username,名称是system:bootstrap:,属于system:bootstrappers这个组,这个组具有申请csr的权限,该组的权限绑定在一个叫system:node-bootstrapper的clusterroleCSR:相当于一个申请表,可以拿着这个申请表去申请我们的证书
  1. 经过上面的认证,kubelet就有了一个创建和检索CSR的权限
  1. Kubelet为自己创建一个CSR,名称为kubernetes.io/kube-apiserver-client-kubelet
  1. CSR被允许有两种方式:K8s管理员使用kubectl手动的颁发证书如果配置了相关权限,kube-controller-manager会自动同意
  1. CSR被同意后,controller-manager创建kubelet的证书文件
  1. Controller-manager将证书更新至csr的status字段
  1. Kubelet从apiserver获取证书
  1. Kubelet从获取到的key和证书文件创建kubelet.kubeconfig
  1. Kubelet启动完成并正常工作
  1. 可选:如果配置了自动续期,kubelet会在证书文件过期的时候利用之前的kubeconfig文件去申请一个新的证书,相当于续约。
  1. 新的证书被同意或签发,取决于我们的配置Kubelet创建的CSR是属于一个O:system:nodesCN:system:nodes:主机名

你可能感兴趣的:(视频学习笔记,bootstrap,kubernetes,docker)