前言
昨晚(Apr 9,2017)金山軟體的
opsnull釋出了一個開源項目
和我一步步部署kubernetes叢集,下文是結合我
之前部署kubernetes的過程打造的kubernetes環境和opsnull的文章
建立 kubernetes 各元件 TLS 加密通信的證書和秘鑰的實踐。之前安裝過程中一直 使用的是非加密方式,一直到後來
使用Fluentd和ElasticSearch收集Kubernetes叢集日志時發現有權限驗證問題,是以為了深入研究kubernentes。
Kubernentes中的身份驗證
kubernetes
系統的各元件需要使用
TLS
證書對通信進行加密,本文檔使用
CloudFlare
的 PKI 工具集
cfssl來生成 Certificate Authority (CA) 和其它證書;
生成的 CA 證書和秘鑰檔案如下:
- ca-key.pem
- ca.pem
- kubernetes-key.pem
- kubernetes.pem
- kube-proxy.pem
- kube-proxy-key.pem
- admin.pem
- admin-key.pem
使用證書的元件如下:
- etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kubelet:使用 ca.pem;
- kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
- kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller
、
kube-scheduler
目前需要和
kube-apiserver
部署在同一台機器上且使用非安全端口通信,故不需要證書。
安裝 CFSSL
CFSSL
方式一:直接使用二進制源碼包安裝
$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl
$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson
$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo
$ export PATH=/root/local/bin:$PATH
方式二:使用go指令安裝
我們的系統中安裝了Go1.7.5,使用以下指令安裝更快捷:
$go get -u github.com/cloudflare/cfssl/cmd/... $echo $GOPATH /usr/local $ls /usr/local/bin/cfssl*
cfssl cfssl-bundle cfssl-certinfo cfssljson cfssl-newkey cfssl-scan
在
$GOPATH/bin
目錄下得到以cfssl開頭的幾個指令。
建立 CA (Certificate Authority)
建立 CA 配置檔案
$ mkdir /root/ssl
$ cd /root/ssl
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json
$ cat ca-config.json
{ "signing": { "default": { "expiry": "8760h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "8760h" } } } }
字段說明
-
:可以定義多個 profiles,分别指定不同的過期時間、使用場景等參數;後續在簽名證書時使用某個 profile;ca-config.json
-
:表示該證書可用于簽名其它證書;生成的 ca.pem 證書中signing
;CA=TRUE
-
:表示client可以用該 CA 對server提供的證書進行驗證;server auth
-
:表示server可以用該CA對client提供的證書進行驗證;client auth
建立 CA 證書簽名請求
$ cat ca-csr.json
{ "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
- “CN”:
,kube-apiserver 從證書中提取該字段作為請求的使用者名 (User Name);浏覽器使用該字段驗證網站是否合法;Common Name
- “O”:
,kube-apiserver 從證書中提取該字段作為請求使用者所屬的組 (Group);Organization
生成 CA 證書和私鑰
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
建立 Kubernetes 證書
建立 kubernetes 證書簽名請求
$ cat kubernetes-csr.json
{ "CN": "kubernetes", "hosts": [ "127.0.0.1", "172.20.0.112", "172.20.0.113", "172.20.0.114", "172.20.0.115", "10.254.0.1", "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local" ], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
- 如果 hosts 字段不為空則需要指定授權使用該證書的 IP 或域名清單,由于該證書後續被
叢集和etcd
叢集使用,是以上面分别指定了kubernetes master
叢集、etcd
叢集的主機 IP 和kubernetes master
服務的服務 IP(一般是kubernetes
指定的kue-apiserver
網段的第一個IP,如 10.254.0.1。service-cluster-ip-range
生成 kubernetes 證書和私鑰
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes
$ ls kuberntes*
kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem
或者直接在指令行上指定相關參數:
$ echo '{"CN":"kubernetes","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes -hostname="127.0.0.1,10.64.3.7,10.254.0.1,kubernetes,kubernetes.default" - | cfssljson -bare kubernetes
建立 Admin 證書
建立 admin 證書簽名請求
$ cat admin-csr.json
{ "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "system:masters", "OU": "System" } ] }
- 後續
使用kube-apiserver
對用戶端(如RBAC
kubelet
kube-proxy
)請求進行授權;Pod
-
預定義了一些kube-apiserver
使用的RBAC
,如RoleBindings
将 Groupcluster-admin
與 Rolesystem:masters
綁定,該 Role 授予了調用cluster-admin
的所有 API的權限;kube-apiserver
- OU 指定該證書的 Group 為
,system:masters
使用該證書通路kubelet
時 ,由于證書被 CA 簽名,是以認證通過,同時由于證書使用者組為經過預授權的kube-apiserver
,是以被授予通路所有 API 的權限;system:masters
生成 admin 證書和私鑰
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
$ ls admin*
admin.csr admin-csr.json admin-key.pem admin.pem
建立 Kube-Proxy 證書
建立 kube-proxy 證書簽名請求
$ cat kube-proxy-csr.json
{ "CN": "system:kube-proxy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
- CN 指定該證書的 User 為
system:kube-proxy
-
預定義的 RoleBindingkube-apiserver
将Usercluster-admin
system:kube-proxy
system:node-proxier
Proxy 相關 API 的權限;kube-apiserver
生成 kube-proxy 用戶端證書和私鑰
$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy
$ ls kube-proxy*
kube-proxy.csr kube-proxy-csr.json kube-proxy-key.pem kube-proxy.pem
校驗證書
以 kubernetes 證書為例
Opsnssl
指令
Opsnssl
$ openssl x509 -noout -text -in kubernetes.pem
... Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes Validity Not Before: Apr 5 05:36:00 2017 GMT
Not After : Apr 5 05:36:00 2018 GMT
Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
...
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Subject Key Identifier:
DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0
X509v3 Authority Key Identifier:
keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD
X509v3 Subject Alternative Name:
DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:172.20.0.112, IP Address:172.20.0.113, IP Address:172.20.0.114, IP Address:172.20.0.115, IP Address:10.254.0.1 ...
- 确認
字段的内容和Issuer
一緻;ca-csr.json
-
Subject
kubernetes-csr.json
-
X509v3 Subject Alternative Name
kubernetes-csr.json
-
X509v3 Key Usage、Extended Key Usage
中ca-config.json
profile 一緻;kubernetes
Cfssl-Certinfo
Cfssl-Certinfo
$ cfssl-certinfo -cert kubernetes.pem
... { "subject": { "common_name": "kubernetes", "country": "CN", "organization": "k8s", "organizational_unit": "System", "locality": "BeiJing", "province": "BeiJing", "names": [ "CN", "BeiJing", "BeiJing", "k8s", "System", "kubernetes" ] }, "issuer": { "common_name": "Kubernetes", "country": "CN", "organization": "k8s", "organizational_unit": "System", "locality": "BeiJing", "province": "BeiJing", "names": [ "CN", "BeiJing", "BeiJing", "k8s", "System", "Kubernetes" ] }, "serial_number": "174360492872423263473151971632292895707129022309", "sans": [ "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local", "127.0.0.1", "10.64.3.7", "10.254.0.1" ], "not_before": "2017-04-05T05:36:00Z", "not_after": "2018-04-05T05:36:00Z", "sigalg": "SHA256WithRSA", ...
分發證書
将生成的證書和秘鑰檔案(字尾名為
.pem
)拷貝到所有機器的
/etc/kubernetes/ssl
目錄下備用;
$ sudo mkdir -p /etc/kubernetes/ssl
$ sudo cp *.pem /etc/kubernetes/ssl
本文轉自中文社群-
Kubernetes安裝之證書驗證