使用 kubeadm 进行证书管理

    该功能是“稳定的”,意味着:

    • 版本名是 vX,其中 X 是整数。
    • 该功能将出现在多个后续释出的软件稳定版中。

    kubeadm 生成的客户端证书在 1 年后到期。 本页说明如何使用 kubeadm 管理证书续订。

    熟悉 。

    您应该熟悉Kubernetes 中的 PKI 证书和要求

    检查证书是否过期

    check-expiration 能被用来检查证书是否过期

    输出类似于以下内容:

    1. CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
    2. admin.conf                 May 15, 2020 13:03 UTC   364d            false
    3. apiserver                  May 15, 2020 13:00 UTC   364d            false
    4. apiserver-etcd-client      May 15, 2020 13:00 UTC   364d            false
    5. apiserver-kubelet-client   May 15, 2020 13:00 UTC   364d            false
    6. controller-manager.conf    May 15, 2020 13:03 UTC   364d            false
    7. etcd-healthcheck-client    May 15, 2020 13:00 UTC   364d            false
    8. etcd-server                May 15, 2020 13:00 UTC   364d            false
    9. front-proxy-client         May 15, 2020 13:00 UTC   364d            false
    10. scheduler.conf             May 15, 2020 13:03 UTC   364d            false

    该命令显示 /etc/kubernetes/pki 文件夹中的客户端证书以及 kubeadm 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间。

    另外, kubeadm 会通知用户证书是否由外部管理; 在这种情况下,用户应该小心的手动/使用其他工具来管理证书更新。

    kubeadm 会在控制面板升级的时候更新所有证书

    这个功能旨在解决最简单的用例;如果您对此类证书的更新没有特殊要求,并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年),则 kubeadm 将确保您的集群保持最新状态并保持合理的安全性。

    如果您对证书更新有更复杂的需求,则可通过将 传递给 kubeadm upgrade apply 或者 kubeadm upgrade node ,从而选择不采用默认行为。

    手动更新证书

    您能随时通过 kubeadm alpha certs renew 命令手动更新您的证书。

    kubeadm alpha certs renew 提供下列选项

    Kubernetes 证书通常在一年后到期。

    • --csr-only 可用于经过一个外部 CA 生成的证书签名请求来更新证书(无需实际替换更新证书);更多信息请参见下一段。

    • 也可以更新单个证书而不是全部证书。

    本节提供有关如何使用 Kubernetes 证书 API 执行手动证书更新的更多详细信息。

    Kubernetes 证书颁发机构不是开箱即用。 您可以配置外部签名者,例如 cert-manager ,也可以使用内置签名者。 内置签名者是 的一部分。 要激活内置签名者,请传递--cluster-signing-cert-file--cluster-signing-key-file参数。

    这个内置签名者是 kube-controller-manager 的一部分。

    要激活内置签名者,必须传递 --cluster-signing-cert-file--cluster-signing-key-file 参数。

    如果您正在正在创建一个新的集群,您可以使用 kubeadm 的

    您能用 kubeadm alpha certs renew --use-api 为 Kubernetes 证书 API 创建一个证书签名请求。

    1. sudo kubeadm alpha certs renew apiserver --use-api &

    输出类似于以下内容:

    如果您设置了一个外部签名者, 证书签名请求 (CSRs) 会自动被批准。

    否则,您必须用 命令手动批准证书,例如

    1. kubectl certificate approve kubeadm-cert-kube-apiserver-ld526

    输出类似于以下内容:

    您可以使用 kubectl get csr 查看待处理证书列表。

    通过外部 CA 更新证书

    本节提供有关如何使用外部 CA 执行手动更新证书的更多详细信息。

    为了更好的与外部 CA 集成,kubeadm 还可以生成证书签名请求(CSR)。 CSR 表示向 CA 请求客户的签名证书。 在 kubeadm 术语中,通常由磁盘 CA 签名的任何证书都可以作为 CSR 生成。但是,CA 不能作为 CSR 生成。

    您可以传入一个带有 --csr-dir 的目录,将 CRS 输出到指定位置。 如果未指定 --csr-dir ,则使用默认证书目录( /etc/kubernetes/pki )。 CSR 和随附的私钥都在输出中给出。签署证书后,必须将证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki)。

    CSR 代表对 CA 的请求,要求获得客户端的签名证书。

    您能用 kubeadm alpha certs renew --csr-only 创建一个证书签名请求。

    输出中给出了 CSR 和随附的私钥;您可以输入目录名和 --csr-dir ,以将 CSR 输出到指定位置。

    证书能用 kubeadm alpha certs renew --csr-only 更新。

    kubeadm init ,通过 --csr-dir 能指定输出文件夹。

    要使用新证书,请将签名的证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki

    一个 CSR 包含一个证书的名字,域和 IP, 但是未指定用法

    • openssl 中,这是通过 openssl ca 命令 完成的。
    • cfssl 中,这是通过 来完成的。

    使用首选方法对证书签名后,必须将证书和私钥复制到 PKI 目录(默认为 /etc/kubernetes/pki )。