- 1, 生成 TLS 秘钥对
- 2,拷贝密钥对到所有节点
- 3,配置 etcd 使用证书
- 4,测试 etcd 是否正常
- 5,配置 kube-apiserver 使用 CA 连接 etcd
- 6,测试 kube-apiserver
- 7,未解决的问题
SSL/TSL 认证分单向认证和双向认证两种方式。简单说就是单向认证只是客户端对服务端的身份进行验证,双向认证是客户端和服务端互相进行身份认证。就比如,我们登录淘宝买东西,为了防止我们登录的是假淘宝网站,此时我们通过浏览器打开淘宝买东西时,浏览器会验证我们登录的网站是否是真的淘宝的网站,而淘宝网站不关心我们是否“合法”,这就是单向认证。而双向认证是服务端也需要对客户端做出认证。
因为大部分 kubernetes 基于内网部署,而内网应该都会采用私有 IP 地址通讯,权威 CA 好像只能签署域名证书,对于签署到 IP 可能无法实现。所以我们需要预先自建 CA 签发证书。
Generate self-signed certificates 官方参考文档
官方推荐使用 cfssl 来自建 CA 签发证书,当然你也可以用众人熟知的 OpenSSL 或者 easy-rsa。以下步骤遵循官方文档:
1, 生成 TLS 秘钥对
生成步骤:
- 1,下载 cfssl
- 2,初始化证书颁发机构
- 3,配置 CA 选项
- 4,生成服务器端证书
- 5,生成对等证书
- 6,生成客户端证书
想深入了解 HTTPS 的看这里:
1,下载 cfssl
mkdir ~/bin
curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x ~/bin/{cfssl,cfssljson}
export PATH=$PATH:~/bin
2,初始化证书颁发机构
1 | mkdir ~/cfssl |
证书类型介绍:
- client certificate 用于通过服务器验证客户端。例如etcdctl,etcd proxy,fleetctl或docker客户端。
- server certificate 由服务器使用,并由客户端验证服务器身份。例如docker服务器或kube-apiserver。
- peer certificate 由 etcd 集群成员使用,供它们彼此之间通信使用。
3,配置 CA 选项
1 | $ cat << EOF > ca-config.json |
请务必保证 ca-key.pem 文件的安全,*.csr 文件在整个过程中不会使用。
4,生成服务器端证书
1 | $ echo '{"CN":"coreos1","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server -hostname="10.93.81.17,127.0.0.1,server" - | cfssljson -bare server |
5,生成对等证书
1 | $ echo '{"CN":"member1","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer -hostname="10.93.81.17,127.0.0.1,server,member1" - | cfssljson -bare member1 |
6,生成客户端证书
1 | $ echo '{"CN":"client","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client - | cfssljson -bare client |
至此,所有证书都已生成完毕。
2,拷贝密钥对到所有节点
- 1,拷贝密钥对到所有节点
- 2,更新系统证书库
1,拷贝密钥对到所有节点
1 | $ mkdir -pv /etc/ssl/etcd/ |
2,更新系统证书库
1 | $ yum install ca-certificates -y |
3,配置 etcd 使用证书
1 | $ etcdctl version |
4,测试 etcd 是否正常
1 | $ systemctl restart etcd |
5,配置 kube-apiserver 使用 CA 连接 etcd
1 | $ cp /etc/ssl/etcd/* /var/run/kubernetes/ |
6,测试 kube-apiserver
1 | $ systemctl restart kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy |
7,未解决的问题
1,使用 kubectl get cs
查看会出现如上面所示的报错:
1 | etcd-0 Unhealthy Get https://10.93.81.17:2379/health: remote error: tls: bad certificate |
此问题有人提交 pr 但尚未被 merge,etcd component status check should include credentials
2,使用以下命令查看到的 2380 端口是未加密的
1 | $ etcdctl --endpoints=[10.93.81.17:2379] --cacert=/etc/ssl/etcd/ca.pem --cert=/etc/ssl/etcd/client.pem --key=/etc/ssl/etcd/client-key.pem member list |
参考文档: