k8s 证书

原创 已于 2023-02-14 19:45:07 修改 · 276 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #https #java

于 2023-02-14 19:30:54 首次发布
文章详细阐述了Kubernetes中认证的核心机制,包括通过签名确保内容未被篡改以及验证发送方身份的流程。证书由rootCA签发,确保发送方的真实性。还提到了使用CSR请求并签发正式证书的过程。

refer to 彻底搞懂 Kubernetes 中的认证 | 云原生社区(中国)

证书核心机制:

 1)证明内容没有被修改

      发送 秘钥+明文hash+signature(hash加密后)  ——  对面用公钥解开,得到的hash = 原带的hash

 2)证明发送方的确是真的发送方,中间没有被人整个替换

     证书是由root CA(一般embedded in linux or browser上)签发,保证了发送方 是真的 发送方

eg 生成一个签发正式的request (csr )用csr再签出证书

G7N3F
关注
k8s证书过期处理
qq_35573061的博客
09-14 3587
证书一共分为根CA(ca.crt)master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)kubelet证书其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
k8s证书更新
Timmy的博客
08-28 581
k8s证书更新
k8s 证书更新
qq_53349769的博客
10-09 1454
由于项目要验收,于是上服务器看了一下 k8s 的状态,发现报错了:于是按照通义给出的方法依次检查错误在哪:1、确认本机 IP 是否变化:没变2、检查 API Server 是否在运行:看了 docker,还在运行2、这是导致→→→的根本原因。关于证书为什么会过期的说明:在kubeadmkubeadm。
k8s证书续期
weixin_40668374的博客
05-15 944
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
K8S证书
dualvencsdn的博客
11-04 593
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问Etcd,要有一套etcdclient证书 再算kubernetes: 4、Kube-APIserver对...
K8s 证书认知(K8s Certificate Awareness)
Linux运维老纪的博客
02-14 2563
在谈起 Kubernetes 证书时,总感觉其涵盖的内容繁多,仿佛千头万绪,让人不知该从何处着手阐述。为了更好地理清思路,本文将对相关内容进行系统的梳理和记录。
k8s证书过期处理办法
qq_31354099的博客
03-17 1336
etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期。/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期。/etc/kubernetes/pki/etcd/server.crt #1年有效期。/etc/kubernetes/pki/etcd/peer.crt #1年有效期。kubeadm alpha certs renew all //所有证书延长一年。
k8s证书续期及版本升级
geriletuma
07-28 1245
k8s证书续期及版本升级
K8s证书过期处理
liangpangpangyo的博客
05-28 859
本地有一个1master2worker的k8s集群,今天启动VMware虚拟机之后发现api-server没有起来,docker一直退出,这个集群是使用kubeadm安装的。于是kubectl logs查看了日志,发现证书过期了。
k8s证书续签问题处理
niuwj666的博客
07-29 896
有的项目k8s搭建时未考虑证书授权问题,导致一年后证书到期,一下是问题处理思路。
精选资源
k8s证书修改为10年文件
06-13
本教程将详细介绍如何将k8s证书的生命周期延长至10年,从而减少维护工作。 首先,我们需要理解k8s证书的角色和用途。在k8s中,证书主要用于验证API服务器、etcd、kubelet、controller manager、scheduler等组件之间...
K8S证书生成工具-cfssl-Centos离线安装包
10-28
使用`cfssl`,你可以轻松地创建自己的私有CA,这对于K8S集群内部的证书管理非常有用。 2. `cfssl-certinfo`: 这个工具用于查询和展示X.509证书的信息。你可以通过它来检查证书的详细属性,如有效期、颁发者、主体...
精选资源
k8s证书过期处理方案
11-17
Kubernetes证书管理是集群稳定运行的关键环节,当证书过期时,会导致各种操作受阻,例如无法创建Pod,kubectl命令失效,甚至是Kubernetes Dashboard无法访问。本文主要探讨的是针对kubeadm部署的Kubernetes集群中...
k8S网络概述——详细理论知识
IT_mingY的博客
12-15 579
Kubernetes (K8s) 网络解决方案是指在 Kubernetes 集群中实现容器网络通信的各种技术和工具。这些解决方案的设计目的是为了满足 Kubernetes 网络模型的要求,即:1. 所有 Pod 都必须能够无需 NAT 就能互相通信。2. 所有节点必须能够无需 NAT 就能与所有 Pod 通信。3. Pod 在重新调度时保持相同的 IP 地址。这些网络解决方案遵循 CNI(Container Network Interface)规范,提供插件以集成不同的网络技术。
K8s-1.29.2二进制安装-第一章
会飞的小蛮猪博客
12-15 381
从本章开始完成k8s二进制安装的安装学习,系统使用Rockly9.6,K8s版本1.29.2,一共会分成几张进行编写。
Go 语言容器感知,自动适配 K8s 资源限制
码刀攻城
12-13 726
Go 对容器化部署的深度优化,极大降低了开发者的配置成本,避免了资源浪费和性能瓶颈
排查k8s连接mysql的pod
Z_linht的博客
12-16 221
在Host列找到具体的连接IP,例如找到IP是:192.168.110.27。找到pod的IP是10.233.81.245.50950。
K8s-Calico 网络组件
2503_92914039的博客
12-15 1080
Calico 是一款基于 BGP(边界网关协议)实现容器间网络互联的解决方案,同时提供强大的网络策略(Network Policy)能力,可用于精细控制容器间的访问权限。支持 Pod 网络跨节点通信兼容 Service 资源的负载均衡机制适配 Kubernetes 网络策略标准可选支持 IPv4/IPv6 双栈高性能:基于 BGP 路由转发,无需额外隧道封装(部分模式除外),网络延迟低、吞吐量高灵活的网络模式。
K8s-1.29.2二进制安装-第三章(Master组件安装)
最新发布
会飞的小蛮猪博客
12-17 304
K8s二进制安装:本章主要是安装K8s服务端组件apiserver kube-controller-manager kube-scheduler,安装nginx进行高可用负载,配置TLS Bootstrapping 为以后自动给client发布证书使用(所有文章结束后会把使用到的容器镜像及工具一并共享)
k8s证书
09-05
K8s中,证书是保障系统安全通信的关键部分。K8s 1.8之后增加了客户端证书自动轮换功能,在证书有效期的70%-90%区间(约剩下37 - 110天,大致1 - 3个多月),kubelet会使用其初始证书连接到Kubernetes API,并发送证书签名请求,可通过命令`openssl x509 -in /var/lib/kubelet/pki/kubelet-client-current.pem -noout -dates`查看相关信息[^1]。 在K8s集群内部,像pod和kube - proxy访问kube - apiserver时使用的是SA(服务账户)认证。在`/etc/kubernetes/pki`目录下,`sa.pub`和`sa.key`这两个文件就是用于SA认证的,这一点容易被遗漏[^2]。 当需要更新证书时,可使用如下命令: ```bash kubeadm alpha certs renew apiserver kubeadm alpha certs renew apiserver - etcd - client kubeadm alpha certs renew apiserver - kubelet - client kubeadm alpha certs renew etcd - healthcheck - client kubeadm alpha certs renew etcd - peer kubeadm alpha certs renew etcd - server kubeadm alpha certs renew front - proxy - client ``` 不过,更新`kube - apiserver`连接etcd使用的证书时,如果证书目录(默认是`/etc/kubernetes/pki`)下没有`apiserver - etcd - client.key`和`apiserver - etcd - client.crt`文件,命令会执行失败,会出现类似如下报错: ``` [renew] Reading configuration from the cluster... [renew] FYI: You can look at this config file with 'kubectl -n kube - system get cm kubeadm - config -o yaml' I0423 16:34:09.618941 174178 kubelet.go:74] attempting to download the KubeletConfiguration from ConfigMap "kubelet - config" I0423 16:34:09.655256 174178 certs.go:345] Overriding the cluster certificate directory with the value from command line flag --cert - dir: /etc/kubernetes/pki MISSING! certificate the apiserver uses to access etcd ``` [^1][^3][^4]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值