为保证集群通信安全,k8s各组件通信使用TLS证书对通信进行加密。工具采用CloudFlare的PKI工具集cfssl
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
chmod +x cfssl_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssljson_linux-amd64
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl-certinfo_linux-amd64
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
- CA配置文件
cat ca-config.json
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"mosquitood-k8s": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
- ca-config.json: 可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile。
- signing: 表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE。
- server auth: 表示 client 可以用该 CA 对 server 提供的证书进行验证。
- client auth: 表示 server 可以用该 CA 对 client 提供的证书进行验证
cat ca-csr.json
{
"CN": "mosquitood-k8s",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "TianJin",
"L": "TianJin",
"O": "k8s",
"OU": "System"
}
]
}
- CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法。
- O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)。
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
将生成的CA证书、秘钥文件、配置文件拷贝到 所有机器 的 /etc/kubernetes/ssl 目录下。
mkdir -p /etc/kubernetes/ssl
cp ca* /etc/kubernetes/ssl
- 分发证书不要进行压缩操作,否则可能证书会有问题。