• 创建TLS证书和秘钥
    • 前言
    • 安装 CFSSL
    • 创建 CA (Certificate Authority)
    • 创建 kubernetes 证书
    • 创建 admin 证书
    • 创建 kube-proxy 证书
    • 校验证书
      • 使用 opsnssl 命令
      • 使用 cfssl-certinfo 命令
    • 分发证书
    • 参考

    创建TLS证书和秘钥

    前言

    执行下列步骤前建议你先阅读以下内容:

    • 管理集群中的TLS:教您如何创建TLS证书
    • kubelet的认证授权:向您描述如何通过认证授权来访问 kubelet 的 HTTPS 端点。
    • TLS bootstrap:介绍如何为 kubelet 设置 TLS 客户端证书引导(bootstrap)。

    注意:这一步是在安装配置kubernetes的所有步骤中最容易出错也最难于排查问题的一步,而这却刚好是第一步,万事开头难,不要因为这点困难就望而却步。

    如果您足够有信心在完全不了解自己在做什么的情况下能够成功地完成了这一步的配置,那么您可以尽管跳过上面的几篇文章直接进行下面的操作。

    kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书;

    生成的 CA 证书和秘钥文件如下:

    • ca-key.pem
    • ca.pem
    • kubernetes-key.pem
    • kubernetes.pem
    • kube-proxy.pem
    • kube-proxy-key.pem
    • admin.pem
    • admin-key.pem

    使用证书的组件如下:

    • etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
    • kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
    • kubelet:使用 ca.pem;
    • kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
    • kubectl:使用 ca.pem、admin-key.pem、admin.pem;
    • kube-controller-manager:使用 ca-key.pem、ca.pem

    注意:以下操作都在 master 节点即 172.20.0.113 这台主机上执行,证书只需要创建一次即可,以后在向集群中添加新节点时只要将 /etc/kubernetes/ 目录下的证书拷贝到新节点上即可。

    安装 CFSSL

    方式一:直接使用二进制源码包安装

    1. wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
    2. chmod +x cfssl_linux-amd64
    3. mv cfssl_linux-amd64 /usr/local/bin/cfssl
    4. wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
    5. chmod +x cfssljson_linux-amd64
    6. mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
    7. wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
    8. chmod +x cfssl-certinfo_linux-amd64
    9. mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
    10. export PATH=/usr/local/bin:$PATH

    方式二:使用go命令安装

    我们的系统中安装了Go1.7.5,使用以下命令安装更快捷:

    1. $ go get -u github.com/cloudflare/cfssl/cmd/...
    2. $ echo $GOPATH
    3. /usr/local
    4. $ls /usr/local/bin/cfssl*
    5. cfssl cfssl-bundle cfssl-certinfo cfssljson cfssl-newkey cfssl-scan

    $GOPATH/bin目录下得到以cfssl开头的几个命令。

    注意:以下文章中出现的cat的文件名如果不存在需要手工创建。

    创建 CA (Certificate Authority)

    创建 CA 配置文件

    1. mkdir /root/ssl
    2. cd /root/ssl
    3. cfssl print-defaults config > config.json
    4. cfssl print-defaults csr > csr.json
    5. # 根据config.json文件的格式创建如下的ca-config.json文件
    6. # 过期时间设置成了 87600h
    7. cat > ca-config.json <<EOF
    8. {
    9. "signing": {
    10. "default": {
    11. "expiry": "87600h"
    12. },
    13. "profiles": {
    14. "kubernetes": {
    15. "usages": [
    16. "signing",
    17. "key encipherment",
    18. "server auth",
    19. "client auth"
    20. ],
    21. "expiry": "87600h"
    22. }
    23. }
    24. }
    25. }
    26. EOF

    字段说明

    • ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
    • signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE
    • server auth:表示client可以用该 CA 对server提供的证书进行验证;
    • client auth:表示server可以用该CA对client提供的证书进行验证;

    创建 CA 证书签名请求

    创建 ca-csr.json 文件,内容如下:

    1. {
    2. "CN": "kubernetes",
    3. "key": {
    4. "algo": "rsa",
    5. "size": 2048
    6. },
    7. "names": [
    8. {
    9. "C": "CN",
    10. "ST": "BeiJing",
    11. "L": "BeiJing",
    12. "O": "k8s",
    13. "OU": "System"
    14. }
    15. ]
    16. }
    • “CN”:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
    • “O”:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);

    生成 CA 证书和私钥

    1. $ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
    2. $ ls ca*
    3. ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem

    创建 kubernetes 证书

    创建 kubernetes 证书签名请求文件 kubernetes-csr.json

    1. {
    2. "CN": "kubernetes",
    3. "hosts": [
    4. "127.0.0.1",
    5. "172.20.0.112",
    6. "172.20.0.113",
    7. "172.20.0.114",
    8. "172.20.0.115",
    9. "10.254.0.1",
    10. "kubernetes",
    11. "kubernetes.default",
    12. "kubernetes.default.svc",
    13. "kubernetes.default.svc.cluster",
    14. "kubernetes.default.svc.cluster.local"
    15. ],
    16. "key": {
    17. "algo": "rsa",
    18. "size": 2048
    19. },
    20. "names": [
    21. {
    22. "C": "CN",
    23. "ST": "BeiJing",
    24. "L": "BeiJing",
    25. "O": "k8s",
    26. "OU": "System"
    27. }
    28. ]
    29. }
    • 如果 hosts 字段不为空则需要指定授权使用该证书的 IP 或域名列表,由于该证书后续被 etcd 集群和 kubernetes master 集群使用,所以上面分别指定了 etcd 集群、kubernetes master 集群的主机 IP 和 kubernetes 服务的服务 IP(一般是 kube-apiserver 指定的 service-cluster-ip-range 网段的第一个IP,如 10.254.0.1)。
    • 这是最小化安装的kubernetes集群,包括一个私有镜像仓库,三个节点的kubernetes集群,以上物理节点的IP也可以更换为主机名。

    生成 kubernetes 证书和私钥

    1. $ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
    2. $ ls kubernetes*
    3. kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem

    或者直接在命令行上指定相关参数:

    1. echo '{"CN":"kubernetes","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes -hostname="127.0.0.1,172.20.0.112,172.20.0.113,172.20.0.114,172.20.0.115,kubernetes,kubernetes.default" - | cfssljson -bare kubernetes

    创建 admin 证书

    创建 admin 证书签名请求文件 admin-csr.json

    1. {
    2. "CN": "admin",
    3. "hosts": [],
    4. "key": {
    5. "algo": "rsa",
    6. "size": 2048
    7. },
    8. "names": [
    9. {
    10. "C": "CN",
    11. "ST": "BeiJing",
    12. "L": "BeiJing",
    13. "O": "system:masters",
    14. "OU": "System"
    15. }
    16. ]
    17. }
    • 后续 kube-apiserver 使用 RBAC 对客户端(如 kubeletkube-proxyPod)请求进行授权;
    • kube-apiserver 预定义了一些 RBAC 使用的 RoleBindings,如 cluster-admin 将 Group system:masters 与 Role cluster-admin 绑定,该 Role 授予了调用kube-apiserver所有 API的权限;
    • O 指定该证书的 Group 为 system:masterskubelet 使用该证书访问 kube-apiserver 时 ,由于证书被 CA 签名,所以认证通过,同时由于证书用户组为经过预授权的 system:masters,所以被授予访问所有 API 的权限;

    注意:这个admin 证书,是将来生成管理员用的kube config 配置文件用的,现在我们一般建议使用RBAC 来对kubernetes 进行角色权限控制, kubernetes 将证书中的CN 字段 作为User, O 字段作为 Group(具体参考 Kubernetes中的用户与身份认证授权中 X509 Client Certs 一段)。

    在搭建完 kubernetes 集群后,我们可以通过命令: kubectl get clusterrolebinding cluster-admin -o yaml ,查看到 clusterrolebinding cluster-admin 的 subjects 的 kind 是 Group,name 是 system:mastersroleRef 对象是 ClusterRole cluster-admin。 意思是凡是 system:masters Group 的 user 或者 serviceAccount 都拥有 cluster-admin 的角色。 因此我们在使用 kubectl 命令时候,才拥有整个集群的管理权限。可以使用 kubectl get clusterrolebinding cluster-admin -o yaml 来查看。

    1. $ kubectl get clusterrolebinding cluster-admin -o yaml
    2. apiVersion: rbac.authorization.k8s.io/v1
    3. kind: ClusterRoleBinding
    4. metadata:
    5. annotations:
    6. rbac.authorization.kubernetes.io/autoupdate: "true"
    7. creationTimestamp: 2017-04-11T11:20:42Z
    8. labels:
    9. kubernetes.io/bootstrapping: rbac-defaults
    10. name: cluster-admin
    11. resourceVersion: "52"
    12. selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
    13. uid: e61b97b2-1ea8-11e7-8cd7-f4e9d49f8ed0
    14. roleRef:
    15. apiGroup: rbac.authorization.k8s.io
    16. kind: ClusterRole
    17. name: cluster-admin
    18. subjects:
    19. - apiGroup: rbac.authorization.k8s.io
    20. kind: Group
    21. name: system:masters

    生成 admin 证书和私钥:

    1. $ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
    2. $ ls admin*
    3. admin.csr admin-csr.json admin-key.pem admin.pem

    创建 kube-proxy 证书

    创建 kube-proxy 证书签名请求文件 kube-proxy-csr.json

    1. {
    2. "CN": "system:kube-proxy",
    3. "hosts": [],
    4. "key": {
    5. "algo": "rsa",
    6. "size": 2048
    7. },
    8. "names": [
    9. {
    10. "C": "CN",
    11. "ST": "BeiJing",
    12. "L": "BeiJing",
    13. "O": "k8s",
    14. "OU": "System"
    15. }
    16. ]
    17. }
    • CN 指定该证书的 User 为 system:kube-proxy
    • kube-apiserver 预定义的 RoleBinding cluster-admin 将User system:kube-proxy 与 Role system:node-proxier 绑定,该 Role 授予了调用 kube-apiserver Proxy 相关 API 的权限;

    生成 kube-proxy 客户端证书和私钥

    1. $ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
    2. $ ls kube-proxy*
    3. kube-proxy.csr kube-proxy-csr.json kube-proxy-key.pem kube-proxy.pem

    校验证书

    以 kubernetes 证书为例

    使用 opsnssl 命令

    1. $ openssl x509 -noout -text -in kubernetes.pem
    2. ...
    3. Signature Algorithm: sha256WithRSAEncryption
    4. Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes
    5. Validity
    6. Not Before: Apr 5 05:36:00 2017 GMT
    7. Not After : Apr 5 05:36:00 2018 GMT
    8. Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
    9. ...
    10. X509v3 extensions:
    11. X509v3 Key Usage: critical
    12. Digital Signature, Key Encipherment
    13. X509v3 Extended Key Usage:
    14. TLS Web Server Authentication, TLS Web Client Authentication
    15. X509v3 Basic Constraints: critical
    16. CA:FALSE
    17. X509v3 Subject Key Identifier:
    18. DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0
    19. X509v3 Authority Key Identifier:
    20. keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD
    21. X509v3 Subject Alternative Name:
    22. DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:172.20.0.112, IP Address:172.20.0.113, IP Address:172.20.0.114, IP Address:172.20.0.115, IP Address:10.254.0.1
    23. ...
    • 确认 Issuer 字段的内容和 ca-csr.json 一致;
    • 确认 Subject 字段的内容和 kubernetes-csr.json 一致;
    • 确认 X509v3 Subject Alternative Name 字段的内容和 kubernetes-csr.json 一致;
    • 确认 X509v3 Key Usage、Extended Key Usage 字段的内容和 ca-config.jsonkubernetes profile 一致;

    使用 cfssl-certinfo 命令

    1. $ cfssl-certinfo -cert kubernetes.pem
    2. ...
    3. {
    4. "subject": {
    5. "common_name": "kubernetes",
    6. "country": "CN",
    7. "organization": "k8s",
    8. "organizational_unit": "System",
    9. "locality": "BeiJing",
    10. "province": "BeiJing",
    11. "names": [
    12. "CN",
    13. "BeiJing",
    14. "BeiJing",
    15. "k8s",
    16. "System",
    17. "kubernetes"
    18. ]
    19. },
    20. "issuer": {
    21. "common_name": "Kubernetes",
    22. "country": "CN",
    23. "organization": "k8s",
    24. "organizational_unit": "System",
    25. "locality": "BeiJing",
    26. "province": "BeiJing",
    27. "names": [
    28. "CN",
    29. "BeiJing",
    30. "BeiJing",
    31. "k8s",
    32. "System",
    33. "Kubernetes"
    34. ]
    35. },
    36. "serial_number": "174360492872423263473151971632292895707129022309",
    37. "sans": [
    38. "kubernetes",
    39. "kubernetes.default",
    40. "kubernetes.default.svc",
    41. "kubernetes.default.svc.cluster",
    42. "kubernetes.default.svc.cluster.local",
    43. "127.0.0.1",
    44. "10.64.3.7",
    45. "10.254.0.1"
    46. ],
    47. "not_before": "2017-04-05T05:36:00Z",
    48. "not_after": "2018-04-05T05:36:00Z",
    49. "sigalg": "SHA256WithRSA",
    50. ...

    分发证书

    将生成的证书和秘钥文件(后缀名为.pem)拷贝到所有机器的 /etc/kubernetes/ssl 目录下备用;

    1. mkdir -p /etc/kubernetes/ssl
    2. cp *.pem /etc/kubernetes/ssl

    参考

    • Generate self-signed certificates
    • Setting up a Certificate Authority and Creating TLS Certificates
    • Client Certificates V/s Server Certificates
    • 数字证书及 CA 的扫盲介绍
    • TLS bootstrap 引导程序