維護人日期內容

yanke679	2019-4-23	初版

基本概念

k8s 中有2種用戶，一般用戶和serviceAccount。

• 一般用戶: 給集群外部用戶使用，例如集群管理員通過 kubectl 這個客戶端來操作集群，使用的就是一般用戶，這個用戶通過 k8s 的 RBAC 權限系統獲得相應權限。
• serviceAccount: 給集群內的資源使用，例如pod訪問apiserver。每個pod都有一個 default serviceAccount。

一個完整的訪問k8s api流程

+-----------------------------------------------------------------------------------------------------------+ | | | +---------------------------------------------------------------------------+ +--------+ | | | | | | | | +--------+ | +------------------+ +----------------+ +--------------+ +------+ | | | | | | | | | | | | | Admission | | | | | | | | | Client +------> | Authentication +-> | Authorization +-> | Control +-> |Logic | +--> | Others | | | | | | | | | | | | | | | | | | | +--------+ | +------------------+ +----------------+ +--------------+ +------+ | | | | | | | | | | | | | | | | | | Kube-apiserver | | | | | +---------------------------------------------------------------------------+ +--------+ | | | +-----------------------------------------------------------------------------------------------------------+ 復制代碼

本文操作前提

以下操作以 root 賬號在node上執行。

查看 kubectl 當前證書狀態

證書是k8s中用于認證(Authentication)的具體機制。

1. 查看 kubectl 上下文

# 如果有配置環境變量，kubectl會讀取變量定義的config文件 $ env | grep -i KUBECONFIG # kubectl 默認 config 文件 $ ls -lh ~/.kube/config -rw------- 1 root root 6.2K Apr 8 2018 /root/.kube/config $ # 查看 kubectl 配置的上下文(context) # 注意看 user name，client-certificate-data。 # 留意 cluster 下的 server，以及 context 下的 namespace，等下生產證書是需要用到。 $ kubectl config view apiVersion: v1 clusters: - cluster:certificate-authority-data: REDACTEDserver: https://10.25.65.209:6443name: kubernetes contexts: - context:cluster: kubernetesnamespace: szd-dev-f0109307user: kubectlname: kubernetes current-context: kubernetes kind: Config preferences: {} users: - name: kubectluser:client-certificate-data: REDACTEDclient-key-data: REDACTED 復制代碼

2. 查看 kubectl 客戶端證書狀態

# 從 config 文件截取 client-certificate-data，放到一個文件中。 cat ~/.kube/config --> 找到 當前 user 對應的 client-certificate-data。 # 此處保存到如下文件: $ pwd /root/szd-dev-f0109307_kubectl $ ls kubectl_client-certificate-data.txt $ cat kubectl_client-certificate-data.txt LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUQxRENDQXJ5Z0F3SUJBZ0lVSlFRRFQvbTdJcjFhQjhsWnFnNGNoVStrM0pZd0RRWUpLb1pJaHZjTkFRRUwKQlFBd1pURUxNQWtHQTFVRUJoTUNRMDR4RURBT0JnTlZCQWdUQjBKbGFVcHBibWN4RURBT0JnTlZCQWNUQjBKbAphVXBwYm1jeEREQUtCZ05WQkFvVEEyczRjekVQTUEwR0ExVUVDeE1HVTNsemRHVnRNUk13RVFZRFZRUURFd3ByCmRXSmxjbTVsZEdWek1CNFhEVEU0TURRd09EQTVNekF3TUZvWERURTVNRFF3T0RBNU16QXdNRm93WWpFTE1Ba0cKQTFVRUJoTUNRMDR4RURBT0JnTlZCQWdUQjBKbGFVcHBibWN4RURBT0JnTlZC ......敏感信息...... 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 $ 復制代碼# 解碼查看客戶端證書狀態，可以看到 Not After : Apr 8 09:30:00 2019 GMT，已經過期。 # 注意 subject 中 CN 對應 k8s 中 role/clusterrole 的 user name；O 對應 group name。 $ base64 -d ./kubectl_client-certificate-data.txt | openssl x509 -text -noout Certificate:Data:......Signature Algorithm: sha256WithRSAEncryptionIssuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetesValidityNot Before: Apr 8 09:30:00 2018 GMTNot After : Apr 8 09:30:00 2019 GMTSubject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubectlSubject Public Key Info:...... $ 復制代碼

重新簽發客戶端證書

客戶端證書的生產流程為:

1. 生成客戶端ssl私鑰 2. 使用私鑰生成證書請求 3. 通過管理員給予的 ca 證書、ca key給客戶端簽名，生產客戶端訪問用的證書，簽名方式為 x509。`/etc/kubernetes/ssl`下的文件不要隨意更改，唯一一個能改的是`ca-config.json`中的`expiry`，8760h 為 365 天。 復制代碼 $ cat ca-config.json { "signing": {"default": {"expiry": "8760h"},"profiles": {"kubernetes": {"usages": ["signing","key encipherment","server auth","client auth"],"expiry": "8760h"}} } 復制代碼# 從剛才 kubectl config view 獲取到當前集群的 server，即 master_vip，以及 namespace。 MASTER_VIP='10.25.65.209' NAMESPACE='szd-dev-f0109307' # 生成客戶端證書請求以及配置證書的步驟封裝在以下shell腳本中，給它傳參數執行即可。 cd /opt/k8s/node/scripts && sh ./k8s-node-rbac ${MASTER_VIP} ${NAMESPACE} 復制代碼

驗證重新簽發的證書狀態

參照 `2. 查看 kubectl 客戶端證書狀態`。 可以看到證書狀態已經更新。 復制代碼 $ base64 -d kubectl_client-certificate-data.txt | openssl x509 -text -noout Certificate:Data:Version: 3 (0x2)Serial Number:......Signature Algorithm: sha256WithRSAEncryptionIssuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetesValidityNot Before: Apr 23 04:55:00 2019 GMTNot After : Apr 22 04:55:00 2020 GMTSubject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubectl 復制代碼

總結

以上是生活随笔為你收集整理的用户自助查看kubectl使用的证书状态以及如何更新的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。