K8s 证书认知(K8s Certificate Awareness)

最新推荐文章于 2025-06-10 09:02:39 发布
最新推荐文章于 2025-06-10 09:02:39 发布
阅读量2.3k 收藏 15
点赞数 32
CC 4.0 BY-SA版权
分类专栏: 天涯海角,k8s伴你同行 文章标签: kubernetes 容器 云原生 服务器 运维开发 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/J56793/article/details/145418161

K8s 证书认知

在谈起 Kubernetes 证书时,总感觉其涵盖的内容繁多,仿佛千头万绪,让人不知该从何处着手阐述。为了更好地理清思路,本文将对相关内容进行系统的梳理和记录。

1、证书及链路关系

Kubeadm部署的集群,K8s CA证书是10年,其他组件的证书日期是1年,etcd证书日期可以通过配置设置为10年。

  • 服务端证书: 服务端证书是安装在服务器端的证书,主要用于服务器向客户端证明自己的合法身份,确保客户端连接到正确的服务器,有效时间一般设置比较长。

  • 客户端证书: 客户端证书是安装在客户端的证书,主要用于向服务器证明客户端的身份,确保服务器只接受合法的客户端请求,有效时间相对可以设置短些。

  • CA证书: 服务端或客户端证书都通过CA生成的,Kubeadm安装的集群一般有三套CA证书,一套给etcd、一套给K8s内部使用、一套给聚合层使用,他们都是10年。

  • 证书配置一般有三个文件,含CA,证书和私钥(key字样): 证书是验证对方证书有效性,私钥是解密和签名操作。

1.1、etcd证书

通过ps -ef| grep etcd或systemctl status etcd查看etcd配置从而知道证书目录。

链路关系:服务本身、etcd集群节点间和客户端(etcdctl指令和kube-apiserver访问etcd的客户端证书)。

1.2、kubeadm token令牌

当kubeadm init或一个新节点或组件启动时,它可以使用Token向kube-apiserver进行身份认证,一般是24h。可通过kubeadm token create命令生成,kubeadm token list查看。

1.3、kube-apiserver证书

最复杂,需要和多个组件链接认证,通过查看apiserver配置文件,一般在/etc/kubernetes/manifests目录下kube-apiserver.yaml

链路关系:服务本身、客户端证书(kube-apiserver访问etcd、kubelet和front-proxy)。

1.4、kubelet证书

kubelet有客户端证书和服务端证书,客户端证书可以通过设置自动续签。

链路关系:客户端(kubelet访问kube-apiserver,是通过kubeconfig,其中客户端证书和私钥为:kubelet-client-current.pem)、服务端(可以在kube-apiserver和metric-server访问时使用,但一般不会设置)。

最低0.47元/天 解锁文章

200万优质内容无限畅学
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1977
CA证书及ETCD集群部署
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1237
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
Kubernetes 集群证书管理:kubeadm 证书操作全解析
最新发布
gitblog_01020的博客
06-10 453
Kubernetes 集群证书管理:kubeadm 证书操作全解析 前言 在 Kubernetes 集群中,证书是保障集群安全通信的核心组件。作为集群管理员,理解并掌握证书管理是必备技能。本文将深入讲解如何使用 kubeadm 工具管理 Kubernetes 集群证书,包括证书创建、更新和自定义配置等关键操作。 证书基础概念 Kubernetes 集群使用 PKI(公钥基础设施)证书进行组件间的安...
k8s从入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 657
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
K8S各种各样的证书介绍
Vic的博客
10-28 3474
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
Kubernetesk8s证书机制
叮当猫的喵i
09-15 3766
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务证书,只需要验证服务身份 双向TLS验证:客户端和服务双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器证书:包含服务器公钥和服务身份信息 服务器私钥 客户
「应急响应」Phishing Awareness:feedback on a bank’s strategy - 安全知识
12-04
【应急响应】Phishing Awareness:feedback on a bank’s strategy - 安全知识 在当今数字化时代,网络安全成为了每个组织,尤其是金融机构必须面对的重要问题。银行作为处理大量敏感信息的机构,其安全策略对于...
802.11s_D12.0 Mesh Networking.zip
01-11
在描述中提到,802.11s是Wifi Nan(Nearby Awareness Network)和Wifi Aware(也称为802.11mc)协议的基础,这两个协议都是现代移动设备上实现近距离通信和发现服务的关键技术。 1. **802.11s Mesh Networking**:...
Python Testing_ Beginner’s Guide.pdf
08-18
Preface ... An awareness of software testing would be good, but no formal knowledge of testing is expected nor do you need to have any knowledge of the libraries discussed in the book.
Python Testing - Beginner's Guide (2010).pdf
08-18
Preface ... An awareness of software testing would be good, but no formal knowledge of testing is expected nor do you need to have any knowledge of the libraries discussed in the book.
k8s证书认证
weixin_33955681的博客
06-21 4845
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。创建TLS证书和秘钥步鄹1.下载安装SSL,下载cfssl工具:https://pkg.cfssl.org/...
k8s认证详解 k8s证书详解 2023推荐
yuezhilangniao的博客
08-14 1976
https是在HTTP基础上加了SSL/TLS加密传输通道,保证了数据安全。 SSL最早是由网景公司(Netscape)开发的,后被IETF(The Internet Engineering Task Force - 互联网工程任务组)标准化后写入RFC(Request For Comments),SSL在迭代到3.0后才将其标准化,并重新更名为TLS。目前TLS先后迭代了TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3,目前被广泛使用的是TLS 1.2版本。
k8s有啥证书
weixin_42589700的博客
12-20 823
Kubernetes 中,有许多不同类型的证书可用于认证和加密通信。这些证书包括: TLS 证书:用于加密 HTTPS 通信的证书。 kubeconfig 证书:用于认证 kubectl 客户端Kubernetes 集群之间的通信的证书。 授权证书:用于认证 API 服务器与其他组件之间的通信的证书客户端认证证书:用于认证 API 服务器对来自客户端的请求的身份的证书。 服务...
k8s认证
chengfangdong的博客
10-21 972
服务保留公钥和私钥,客户端使用root CA认证服务的公钥一共有多少证书: *Etcd:kubernetes:所需证书如下: 制作api-server client证书: 制作脚本如下:
k8s证书机制
m0_46673598的博客
09-22 308
原文地址:https://www.zhaohuabing.com/post/2020-05-19-k8s-certificate/接触 Kubernetes 以来,我经常看到 Kubernetes 在不同的地方使用了证书Certificate),在 Kubernetes 安装和组件启动参数中也需要配置大量证书相关的参数。但是 Kubernetes 的文档在解释这些证书的工作机制方面做得并不是太好。经过大量的相关阅读和分析工作后,我基本弄清楚了 Kubernetes证书的使用方式。
K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制)
weixin_45880055的博客
06-10 3192
文章目录一、访问控制概述二、认证管理三、授权管理Role、ClusterRoleRoleBinding、ClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端Kubernetes集群中,客户端通常有两类: User Account: 一般是独立于kubern
K8S集群证书
core815的专栏
11-03 503
地址:https://github.com/yuyicai/update-kube-cert 说明:K8s集群证书过期处理,更新kubeadm生成的证书有效期为10年。针对旧版集群(小于v1.15),当然大于等于v1.15也是可以用这个脚本更新,新版可直接kubeadm alpha certs renew <cert_name>更新 (deal with K8s cluster certificate expired) ...
K8S运维知识汇总】第4天1:关于k8s证书
就叫一片白纸的博客
07-12 423
前情回顾: 关于k8s证书 注:证书更换时,同时需要重新生成新的Kubeconfig文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Linux运维老纪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值