绑定完请刷新页面
取消
刷新

分享好友

×
取消 复制
如何优雅的实现 Kubernetes 集群证书自动轮换
2022-04-14 16:53:41



1检查证书过期时间

# For kubeadm provisioned clusters
kubeadm alpha certs check-expiration

# For all clusters
openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt

2更新过期时间

根据集群的不同,可以选择如下几种方法来更新证书过期时间(任选一种即可)。

方法1: 使用 kubeadm 升级集群自动轮换证书

kubeadm upgrade apply --certificate-renewal v1.15.0

方法2:  使用 kubeadm 手动生成并替换证书

# Step 1): Backup old certs and kubeconfigs
mkdir /etc/kubernetes.bak
cp -r /etc/kubernetes/pki/ /etc/kubernetes.bak
cp /etc/kubernetes/*.conf /etc/kubernetes.bak

# Step 2): Renew all certs
kubeadm alpha certs renew all --config kubeadm.yaml

# Step 3): Renew all kubeconfigs
kubeadm alpha kubeconfig user --client-name=admin
kubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin  > /etc/kubernetes/admin.conf
kubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.conf
kubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.conf
kubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.conf

# Another way to renew kubeconfigs
# kubeadm init phase kubeconfig all --config kubeadm.yaml

# Step 4): Copy certs/kubeconfigs and restart Kubernetes services

方法3: 非 kubeadm 集群

非 kubeadm 集群请参考 配置 CA 并创建 TLS 证书 重新生成证书,并重启各个 Kubernetes 服务。

3kubelet 证书自动轮换

Kubelet 从 v1.8.0 开始支持证书轮换,当证书过期时,可以自动生成新的密钥,并从 Kubernetes API 申请新的证书。

证书轮换的开启方法如下:

# Step 1): Config kube-controller-manager
kube-controller-manager --experimental-cluster-signing-duration=87600h \
                --feature-gates=RotateKubeletClientCertificate=true \
                ...

# Step 2): Config RBAC
# Refer https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#approval

# Step 3): Config Kubelet
kubelet --feature-gates=RotateKubeletClientCertificate=true \
                --cert-dir=/var/lib/kubelet/pki \
                --rotate-certificates \
                --rotate-server-certificates \
                ...

4撤销证书

Kubernetes 目前还不支持通过 Certificate Rovocation List (CRL) 来撤销证书。所以,目前撤销证书的方法就是使用新的 CA 重新生成所有证书,然后再重启所有服务。

为了避免这个问题,推荐为客户端配置 OIDC 认证,比如可以使用 dex 项目来实现。

注:Etcd 支持 CRL 撤销证书,具体实现可以参考这里。

5附: 名词解释

  • CA (Certificate Authority):根证书签发机构,用于签发证书(即证明证书是合法的)。
    • CA 拥有私钥 (ca.key) 和证书 (ca.crt,包含公钥)。对于自签名 CA 来说, ca.crt 需要分发给所有客户端。
    • ca.crt 会自动挂载到 Pod 中/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
  • key (Public key or Private key):即公钥或者私钥。
  • csr (Certificate Signing Request):证书签名请求,用于向权威证书颁发机构获得签名证书的申请,申请中通常包含公钥(私钥自己保存)。
  • crt/cer (Certificate):已签发的证书,一般是 PEM 格式(也支持 DER 格式)。

6参考文档

  • Certificate Management with kubeadm
  • Manage TLS Certificates in a Cluster
  • Kubelet Certificate Rotation


本文转载自:「Github」,原文:https://tinyurl.com/22chbnvu,版权归原作者所有。



分享好友

分享这个小栈给你的朋友们,一起进步吧。

K8s
创建时间:2020-05-14 13:51:19
K8s技术分享
展开
订阅须知

• 所有用户可根据关注领域订阅专区或所有专区

• 付费订阅:虚拟交易,一经交易不退款;若特殊情况,可3日内客服咨询

• 专区发布评论属默认订阅所评论专区(除付费小栈外)

栈主、嘉宾

查看更多
  • 飘絮絮絮丶
    栈主
  • gaokeke123
    嘉宾
  • LCR_
    嘉宾

小栈成员

查看更多
  • at_1
  • zhengchengming
  • chenglinjava0501
  • hansen_hello2019
戳我,来吐槽~