设置

Kubernetes v1.13 版本的文档已不再维护。您现在看到的版本来自于一份静态的快照。如需查阅最新文档,请点击 最新版本。

Edit This Page

PKI 证书和需求

Kubernetes 需要 PKI 证书才能通过 TLS 进行身份验证。如果使用 kubeadm 安装 Kubernetes,集群所需的证书会被自动生成。 您还可以生成自己的证书——例如,通过不将私钥保存在 API 服务器上,来更安全地保护它们。。 此页面说明了集群所需的证书。

集群如何使用证书

Kubernetes 在执行以下操作时需要相应的证书:

Note:

仅在您使用 kube-proxy 来支持 一个扩展 API 服务器 时才需要 front-proxy 证书。

etcd 还实现了双向 TLS 来验证客户端和对等端。

证书在何处存储

如果使用 kubeadm 安装 Kubernetes,证书将存储在 /etc/kubernetes/pki 目录中。 本文档中的所有路径,都是与该目录的相对路径。

手动配置证书

如果您不希望 kubeadm 生成所需的证书,可以使用以下任一方法创建它们。

单个 root CA

您可以创建一个由管理员控制的单个 root CA。然后,此 root CA 可以创建多个中间 CA,并委托 Kubernetes 本身完成后续创建操作。

所需 CA:

路径 默认 CN 描述
ca.crt,key kubernetes-ca Kubernetes 通用 CA
etcd/ca.crt,key etcd-ca 所有 etcd 相关操作
front-proxy-ca.crt,key kubernetes-front-proxy-ca front-end proxy 使用

所有证书

如果您不希望将这些私钥复制到 API 服务器,您可以自己生成所有证书。

所需证书:

默认 CN 父 CA O (in Subject) 种类 主机 (SAN)
kube-etcd etcd-ca server, client [1][etcdbug] localhost, 127.0.0.1
kube-etcd-peer etcd-ca server, client <hostname>, <Host_IP>, localhost, 127.0.0.1
kube-etcd-healthcheck-client etcd-ca client
kube-apiserver-etcd-client etcd-ca system:masters client
kube-apiserver kubernetes-ca server <hostname>, <Host_IP>, <advertise_IP>, [1]
kube-apiserver-kubelet-client kubernetes-ca system:masters client
front-proxy-client kubernetes-front-proxy-ca client

[1]: kubernetes, kubernetes.default, kubernetes.default.svc, kubernetes.default.svc.cluster, kubernetes.default.svc.cluster.local

kind 映射到一个或多个 x509 key usage 类型上

种类 密钥用途
server 数字签名,密钥加密,服务器鉴权
client 数字签名,密钥加密,客户端鉴权

证书路径

证书应放置在推荐路径 (类似 kubeadm 中指定的)。无论位置如何,都应使用给定的参数指定路径。

默认 CN 建议密钥路径 建议 cert 路径 命令 密钥参数 cert 参数
etcd-ca etcd/ca.crt kube-apiserver –etcd-cafile
etcd-client apiserver-etcd-client.crt apiserver-etcd-client.crt kube-apiserver –etcd-certfile –etcd-keyfile
kubernetes-ca ca.crt kube-apiserver –client-ca-file
kube-apiserver apiserver.crt apiserver.key kube-apiserver –tls-cert-file –tls-private-key
apiserver-kubelet-client apiserver-kubelet-client.crt kube-apiserver –kubelet-client-certificate
front-proxy-client front-proxy-client.key front-proxy-client.crt kube-apiserver –proxy-client-cert-file –proxy-client-key-file
etcd-ca etcd/ca.crt etcd –trusted-ca-file, –peer-trusted-ca-file
kube-etcd etcd/server.crt etcd –cert-file
kube-etcd-peer etcd/peer.key etcd/peer.crt etcd –peer-key-file –peer-cert-file
etcd-ca etcd/ca.crt etcdctl2 –cacert
kube-etcd-healthcheck-client etcd/healthcheck-client.key etcd/healthcheck-client.crt etcdctl2 –key –cert

为用户帐户配置证书

您必须手动配置这些管理员帐户和服务帐户:

文件名 凭据名 默认 O (in Subject)
admin.conf default-admin kubernetes-admin system:masters
kubelet.conf default-auth system:node:<nodename> system:nodes
controller-manager.conf default-controller-manager system:kube-controller-manager
scheduler.conf default-manager system:kube-scheduler
  1. 对于每个配置,使用给定的 CN 和 O 生成 x509 证书/密钥对。

  2. 对于每个配置按如下所示执行 kubectl

KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs
KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs
KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name>
KUBECONFIG=<filename> kubectl config use-context default-system

这些文件用途如下:

文件名 命令 描述
admin.conf kubectl 配置集群的管理员用户
kubelet.conf kubelet 集群中的每个节点都需要一个。
controller-manager.conf kube-controller-manager 必须添加到清单 manifests/kube-controller-manager.yaml
scheduler.conf kube-scheduler 必须添加到清单 manifests/kube-scheduler.yaml

反馈