管理集群中的 TLS 认证

    certificates.k8s.io API使用的协议类似于ACME 草稿

    你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

    要获知版本信息,请输入 kubectl version.

    集群中的 TLS 信任

    让 Pod 中运行的应用程序信任集群根 CA 通常需要一些额外的应用程序配置。您将需要将 CA 证书包添加到 TLS 客户端或服务器信任的 CA 证书列表中。例如,您可以使用 golang TLS 配置通过解析证书链并将解析的证书添加到 结构中的 RootCAs 字段中。

    CA 证书捆绑包将使用默认服务账户自动加载到 pod 中,路径为 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt。如果您没有使用默认服务账户,请请求集群管理员构建包含您有权访问使用的证书包的 configmap。

    请求认证

    注意: 本教程使用 CFSSL:Cloudflare’s PKI 和 TLS 工具包了解更多信息。

    本例中使用的 cfssl 工具可以在 https://pkg.cfssl.org/ 下载。

    创建证书签名请求

    通过运行以下命令生成私钥和证书签名请求(或 CSR):

    其中 172.168.0.24 是服务的集群 IP,my-svc.my-namespace.svc.cluster.local 是服务的 DNS 名称,10.0.34.2 是 pod 的 IP 和 是 pod 的 DNS 名称。您能看到以下的输出:

    1. 2017/03/21 06:48:17 [INFO] generate received request
    2. 2017/03/21 06:48:17 [INFO] received CSR
    3. 2017/03/21 06:48:17 [INFO] encoded CSR

    该命令生成两个文件;它生成包含 PEM 编码 pkcs#10 认证请求的 server.csr,以及包含证书的 PEM 编码密钥的 server-key.pem 还有待生成。

    创建证书签名请求对象发送到 Kubernetes API

    使用以下命令创建 CSR yaml 文件,并发送到 API server:

    请注意,在步骤1中创建的 server.csr 文件是 base64 编码并存储在 .spec.request 字段中的,我们还要求提供 “数字签名”,“密钥加密” 和 “服务器身份验证” 密钥用途的证书。我们这里支持列出的所有关键用途和扩展的关键用途,以便您可以使用相同的 API 请求客户端证书和其他证书。

    1. kubectl describe csr my-svc.my-namespace

    批准证书签名请求是通过自动批准过程完成的,或由集群管理员一次性完成。有关这方面涉及的更多信息,请参见下文。

    下载证书并使用它

    CSR 被签署并获得批准后,您应该看到以下内容:

    您可以通过运行以下命令下载颁发的证书并将其保存到 server.crt 文件中:

    1. kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
    2.     | base64 --decode > server.crt

    现在您可以将 server.crtserver-key.pem 作为键值对来启动 HTTPS 服务器。

    批准证书签名请求

    Kubernetes 管理员(具有适当权限)可以使用 kubectl certificate approvekubectl certificate deny 命令手动批准(或拒绝)证书签名请求。但是,如果您打算大量使用此 API,则可以考虑编写自动化的证书控制器。

    无论上述机器或人使用 kubectl,批准者的作用是验证 CSR 满足如下两个要求:

    1. CSR 的主体控制用于签署 CSR 的私钥。这解决了伪装成授权主体的第三方的威胁。在上述示例中,此步骤将验证该 pod 控制了用于生成 CSR 的私钥。
    2. CSR 的主体被授权在请求的上下文中执行。这解决了我们加入群集的我们不期望的主体的威胁。在上述示例中,此步骤将是验证该 pod 是否被允许加入到所请求的服务中。

    当且仅当满足这两个要求时,审批者应该批准 CSR,否则拒绝 CSR。

    给集群管理员的一个建议

    本教程假设将签名者设置为服务证书 API。Kubernetes controller manager 提供了一个签名者的默认实现。 要启用它,请将--cluster-signing-cert-file--cluster-signing-key-file 参数传递给 controller manager,并配置具有证书颁发机构的密钥对的路径。