k8s集群证书自动更新

原创

彭豆豆嘿哈 2024-02-04 10:38:57 ©著作权

©著作权归作者所有：来自51CTO博客作者彭豆豆嘿哈的原创作品，请联系作者获取转载授权，否则将追究法律责任

K8S集群证书自动更新的实现流程如下：

1. 生成证书：首先我们需要生成TLS证书以用于K8S集群的TLS通信。证书包括CA根证书、kube-apiserver证书和kubelet证书。

2. 部署证书：将生成的证书部署到集群中的各个组件。

3. 自动更新证书：设置自动更新机制，定期检查证书的有效期，当证书即将过期时自动更新证书。

下面我们逐个步骤来实现：

1. 生成证书

首先需要安装并配置cfssl工具来生成TLS证书。以下是一个简单的示例代码：

```shell
# 安装cfssl
wget -q --show-progress --https-only --timestamping \
"https://pkg.cfssl.org/R1.2/cfssl_linux-amd64" \
"https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64" \
"https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64"

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
sudo mv cfssl_linux-amd64 /usr/local/bin/cfssl
sudo mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
sudo mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

# 创建一个用于生成证书的配置文件
cat > ca-config.json <{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"expiry": "87600h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
EOF

# 创建一个CA配置文件
cat > ca-csr.json <{
"CN": "Kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"O": "Kubernetes",
"OU": "CA",
"ST": "Beijing"
}
]
}
EOF

# 生成CA根证书和私钥
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

# 创建一个用于生成kube-apiserver证书的CSR文件
cat > kube-apiserver-csr.json <{
"CN": "kube-apiserver",
"hosts": [
"127.0.0.1",
"your.api-server.hostname"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"O": "Kubernetes",
"OU": "Kubernetes cluster",
"ST": "Beijing"
}
]
}
EOF

# 生成kube-apiserver证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-apiserver-csr.json | cfssljson -bare kube-apiserver

# 创建一个用于生成kubelet证书的CSR文件
cat > kubelet-csr.json <{
"CN": "kubelet",
"hosts": [
"127.0.0.1",
"your.node.ip.address"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"L": "Beijing",
"O": "Kubernetes",
"OU": "Kubernetes cluster",
"ST": "Beijing"
}
]
}
EOF

# 生成kubelet证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubelet-csr.json | cfssljson -bare kubelet
```

2. 部署证书

将生成的证书部署到集群中的各个组件。以下是一个示例代码：

```shell
# 在master节点上传生成的证书
scp ca.pem kube-apiserver.pem kube-apiserver-key.pem user@your.master.node:/etc/kubernetes/pki/

# 在node节点上传生成的证书
scp ca.pem kubelet.pem kubelet-key.pem user@your.node:/var/lib/kubelet/pki/

# 在master节点设置kube-apiserver证书
kubectl config set-cluster your-cluster --certificate-authority=ca.pem --embed-certs=true --server=https://your.api-server.hostname:6443

# 在node节点设置kubelet证书
kubectl config set-cluster your-cluster --certificate-authority=ca.pem --embed-certs=true --server=https://your.api-server.hostname:6443
```

3. 自动更新证书

为了实现证书的自动更新，我们可以使用工具如cert-manager来管理证书的自动续期。以下是一个示例代码：

```shell
# 添加cert-manager资源
kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.1.0/cert-manager.yaml

# 创建Issuer或ClusterIssuer资源用于管理证书的申请和自动续期
kubectl apply -f - <apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: selfsigned-issuer
spec:
selfSigned: {}
EOF

# 创建证书资源
kubectl apply -f - <apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: example-certificate
spec:
secretName: example-certificate-secret
dnsNames:
- your.api-server.hostname
issuerRef:
name: selfsigned-issuer
EOF
```

在上述代码中，我们使用cert-manager创建了一个自签名的Issuer资源，并创建了一个与我们之前生成的kube-apiserver证书相对应的Certificate资源，通过指定dnsNames属性来指定证书对应的主机名。

以上就是实现K8S集群证书自动更新的流程和示例代码。希望能给你带来帮助！