k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

最新推荐文章于 2025-03-19 23:49:53 发布
最新推荐文章于 2025-03-19 23:49:53 发布
阅读量2.3k 收藏 9
点赞数 1
分类专栏: kubeadm 源码分析 kubernetes 文章标签: 云原生 kubernetes 源码 容器 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kyle18826138721/article/details/123949710
版权

k8s TLS bootstrap解析-k8s TLS bootstrap流程分析

概述

当k8s集群开启了TLS认证后,每个节点的kubelet组件都要使用由kube-apiserver的CA签发的有效证书才能与kube-apiserver通信;当节点非常多的时候,为每个节点都单独签署证书是一件非常繁琐而又耗时的事情。

此时k8s TLS bootstrap功能应运而生。

k8s TLS bootstrap功能就是让kubelet先使用一个预先商定好的低权限的bootstrap token连接到kube-apiserver,向kube-apiserver申请证书,然后kube-controller-manager给kubelet动态签署证书,后续kubelet都将通过动态签署的证书与kube-apiserver通信。

TLS bootstrap涉及组件相关参数

1.kube-apiserver

(1)--client-ca-file:认证客户端证书的CA证书;

(2)--enable-bootstrap-token-auth:设置为true则代表开启TLS bootstrap特性;

2.kube-controller-manager

(1)--cluster-signing-cert-file--cluster-signing-key-file:用来签发kubelet证书的CA证书和私钥,这里的kubelet证书指的是用来跟kube-apiserver通信,kube-apiserver认证kubelet身份的证书,所以–cluster-signing-cert-file指定的值与kube-apiserver的–client-ca-file指定值一致,而私钥则也是对应的私钥;

(2)--cluster-signing-duration:签发给kubelet的证书有效期;

3.kubelet

(1)--bootstrap-kubeconfig:TLS bootstrap的配置文件,文件中一般包含bootstrap token和master url等信息;

(2)--kubeconfig:在kubelet的CSR被批复并被kubelet取回时,一个引用所生成的密钥和所获得证书的kubeconfig文件会被写入到通过 --kubeconfig所指定的文件路径下,而证书和密钥文件会被放到–cert-dir所指定的目录中;

(3)--rotate-certificates:开启证书轮换,kubelet在其现有证书即将过期时通过创建新的CSR来轮换其客户端证书。

详细流程解析

下面以kubeadm使用k8s TLS bootstrap将一个node节点加入已有的ma

最低0.47元/天 解锁文章
ubuntu 22.04 TLS安装k8s 1.26.3-00
weixin_40548182的博客
05-13 898
检查一下拉下来的pause镜像的版本,确保和 /etc/containerd/config.toml 里面sandbox_image的版本一致。如果ubuntu无法访问github,安装可能失败,解决方法如下,打开windows cmd,ping gitbub.com。执行完kubeadm init命令成功后,会有加入集群命令输出,如果忘记了,执行如下命令即可。如果后续有机器加入,先执行所有节点都操作的命令后,再加入集群即可。说明:只在master节点(node01)操作即可,如有需要,所有节点都操作。
K8S访问控制------认证(authentication )、授权(authorization )体系
qq_41768644的博客
08-29 921
K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。
K8s--集群的设置-配置TLS
weixin_45081220的博客
05-25 768
TLS 传输层加密 前身是SSl tls/ssl 只有A去验证B的证书的合法性 单向TLS 双向验证证书合法性 双向TLS 就是mTLS https=http+tls/ssl 对称加密 加密和解密使用同一个密钥–密码 优点:加密大数据比较快 缺点:密钥不方便传输 常见:AES, DES 加密长度越长越安全 非对称加密 公钥、私钥 数据加密模式:公钥加密,私钥解密 数字签名模式:私钥加密,公钥解密 哈希函数 md5 sha1 sha512 k8s使用的就是mTLS进行通信 访问某个po
【博客494】k8s TLS Bootstrap机制
qq_43684922的博客
09-12 1228
流程图:场景:当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书,kubelet 的证书由 apiserver 动态签署。
k8s证书到期自动轮换
最新发布
qq_37389760的博客
03-19 203
【代码】k8s证书到期自动轮换。
k8s 生成kubelet bootstrap文件
weixin_30339457的博客
05-18 624
接着上面的博客继续写   pwd   /etc/kubernetes   kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/ssl/ca.pem --server=https://192.168.1.71:6443 --kubeconfig=bootstrap.kubeconfig  ...
K8S集群tls证书管理
weixin_33905756的博客
08-31 690
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
k8s-bootstrap
04-04
k8s-bootstrap 引导新配置的Kubernetes集群的基本组件。 部署 节点本地DNS 集群自动缩放器 默认存储类别 入口
【实战加详解】二进制部署k8s高可用集群教程系列十六 - 部署kubelet-TLS Bootstrap证书方式
JohnYang's 优快云 Home
10-13 860
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
k8s:结合Metrics-Server实现弹性伸缩
m0_50434960的博客
03-08 331
k8s结合Metrics-Server实现自动伸 Metrics-Server概念介绍: Metrics-Server是集群核心监控数据的聚合器,在k8s早期版本中,对资源的监控使用的是heapster的资源监控工具。但是从 Kubernetes 1.8 开始,Kubernetes 通过 Metrics API 获取资源使用指标,例如容器 CPU 和内存使用情况。这些度量指标可以由用户直接访问,例如通过使用kubectl top 命令,或者使用集群中的控制器,,因为k8s的api-server将所有的数据持
Kubernetes TLS bootstrapping
Jerry00713的博客
07-12 515
what && why?启动引导过程TLS 作用RBAC 作用kubelet 首次启动流程手动签发证书几个重要术语kubelet serverCSR 请求类型TLS bootstrapping 主要流程细节证书及配置文件作用token.csvbootstarp.kubeconfigkubelet-client.crtkubelet.crtkubelet-server.crtkubelet-client-current.pemkubelet-server-current.pem众所周知 TLS 的作用就是对通
K8S---kubelet TLS 启动引导
qq_41768644的博客
09-03 357
使用启动引导令牌启动完成的kubelet节点,其身份被认证(authenticated)为system:bootstrappers组的成员,该成员在默认情况,并没有创建CSR的以及其他相关权限,所以该成员需要被授权创建证书签名请求(CSR)并在证书被签名之后将其取回。当该节点第一次申请证书,在没有获取证书并使用证书访问之前,该节点的用户身份是bootstrap-token-,所属于组system:bootstrappers的成员;上述TLS 启动引导,只针对kubelet客户端证书,并不适合服务器端证书。
Kubernetes 1.12公布:Kubelet TLS Bootstrap与Azure虚拟机规模集(VMSS)迎来通用版本号...
weixin_33860553的博客
11-01 160
版权声明:本文为博主原创文章,未经博主同意不得转载。 https://blog.youkuaiyun.com/M2l0ZgSsVc7r69eFdTj/article/details/82880341 ...
[译]TLS bootstrapping
Kason_iWiki
09-12 239
TLS BootStrapping 官方文档:https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#initialization-process 在Kubernetes集群中,Node节点kubelet和kube-proxy上的组件需要与Kubernetes控制平面组件进行通信,特别是kube-apiserver。为了确保通信是私有的,不受干扰,并确保集群的每个组件都与另一个受
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1947
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
k8s架构及服务详解
weixin_30920597的博客
08-16 919
1.容器及其三要素 1.1.容器是什么 容器的本质是一种特殊的进程。 在linux容器中有三个重要的概念:Namespace、Cgroups、rootfs。 Namespace做隔离,让进程只能看到Namespace中的世界; Cgroups 做限制,让这个“世界”围着一个看不见的墙。 rootfs 做文件系统,rootfs 只是一个操作系统所包含的...
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
东城绝神
05-12 2567
Kubernetes证书篇:使用TLS bootstrapping简化kubelet证书制作》
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1356
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
Kubernetes自动化部署:k8s-bootstrap指南
由于压缩包子文件的文件名称列表中只有一个文件 "k8s-bootstrap-main",我们可以推断出这个文件很可能是核心脚本或配置文件,用于自动化 Kubernetes 集群的初始化。这个文件可能包含了创建集群所需的基本命令和配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值