k8s客户端证书认证

原创

行星AI 2024-07-27 10:04:34 博主文章分类：k8s ©著作权

文章标签 客户端应用程序 Group k8s 文章分类 kubernetes 云计算

©著作权归作者所有：来自51CTO博客作者行星AI的原创作品，请联系作者获取转载授权，否则将追究法律责任

动一下小手点一下赞。谢谢！你的赞就是我更新的动力。

Kubernetes（简称K8s）是一个开源的容器编排平台，它可以帮助用户管理和部署容器化的应用程序。在Kubernetes中，客户端证书认证是一种常见的身份验证方式，通过客户端证书认证可以保障集群的安全性。在下面的教程中，我将向你展示如何实现K8s客户端证书认证。

整个过程可以分为以下几个步骤：

步骤	描述
1	生成 CA 证书和密钥
2	生成 Client 证书和密钥
3	创建 K8s 的 ServiceAccount
4	创建 Role 和 RoleBinding
5	部署应用并配置 Client 的证书认证

步骤1：生成 CA 证书和密钥

首先，我们需要生成一个自签名的 CA 根证书和密钥，用于签发后续的 client 证书。下面是生成 CA 证书和密钥的代码示例：

openssl genrsa -out ca.key 2048 # 生成 CA 的密钥
openssl req -new -key ca.key -x509 -days 365 -out ca.crt # 生成自签名的 CA 证书

步骤2：生成 Client 证书和密钥

接下来，我们可以使用上一步生成的 CA 证书和密钥，为我们的 Client 生成证书和密钥。这里以一个名为 client 的客户端为例：

openssl genrsa -out client.key 2048 # 生成 Client 的密钥
openssl req -new -key client.key -out client.csr # 生成证书签署请求
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 # 使用 CA 签署 Client 证书

步骤3：创建 K8s 的 ServiceAccount

在 Kubernetes 中，ServiceAccount 用于确定应用程序的身份。我们需要先创建一个 ServiceAccount，并将其与 Role 绑定。

kubectl create serviceaccount my-service-account # 创建 ServiceAccount

步骤4：创建 Role 和 RoleBinding

接着，我们需要创建一个 Role，定义该 ServiceAccount 可以执行的操作，然后创建一个 RoleBinding 将该 Role 绑定到刚刚创建的 ServiceAccount。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: my-role
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-role-binding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: my-role
  subjects:
  - kind: ServiceAccount
    name: my-service-account
    namespace: default

步骤5：部署应用并配置 Client 的证书认证

最后，我们需要部署应用并配置 Client 的证书认证。在应用的 Deployment 中，我们可以配置 client 证书和密钥的挂载路径，以及相应的 CA 证书的挂载路径。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 1
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
  spec:
    containers:
    - name: my-app
      image: my-image
      volumeMounts:
      - name: cert-volume
        mountPath: /certs
    volumes:
    - name: cert-volume
      secret:
        secretName: my-client-certs

通过以上步骤，我们成功实现了 K8s 客户端证书认证。现在，你可以安全地保护你的 Kubernetes 集群，并控制哪些应用程序可以访问集群中的资源。