2.4.2 K8s组件证书_云原生Kubernetes全栈架构师实战-QQ阅读科幻男生网

上QQ阅读APP看书，第一时间看更新

2.4.2　K8s组件证书

相较于Etcd的证书，Kubernetes的证书更为复杂，因为Kubernetes要求组件之间双向加密通信，所以生成Kubernetes的组件会涉及每个组件之间通信的证书，同时也会包含一些聚合证书。

首先在Master01节点生成Kubernetes的根证书，之后其他证书都是根据该证书来生成的：

     # cd /root/k8s-ha-install/pki
     
     # cfssl gencert -initca ca-csr.json | cfssljson -bare /etc/kubernetes/pki/ca

接下来生成kube-apiserver的证书，需要注意更改如下配置：

·　192.168.0.是Kubernetes Service的网段，如果需要更改Kubernetes Service网段，那就需要把192.168.0.1更改为Service网段的第一个IP。

·　10.0.0.236为高可用集群的VIP地址，需要改成读者自己的VIP地址或者其他负载均衡的地址，如果是单Master的集群，直接改为Master节点IP即可。

·　10.0.0.201-203为Kubernetes Master节点的IP地址，需要更改为读者的节点IP。

生成聚合证书，用于扩展的CRD请求验证，比如metrics-server的metrics.k8s.io和apiserver进行通信时就会使用到该证书：

同样的方式生成controller-manage的证书，使用的还是最初的CA文件：

由于Controller Manager需要和APIServer进行通信，此时可以使用kubeconfig配置链接APIServer的信息，比如需要用到的证书、APIServer的地址等。

接下来使用Kubectl生成一个Controller Manager所用的kubeconfig。需要注意更改的位置如下：

·　如果不是高可用集群，把Master的地址改为10.0.0.236:16443，把APIServer的端口改为16443，默认是6443。

首先设置一个集群项，即配置一个集群到kubeconfig：

·　set-cluster：配置集群的名称，当前为kubernetes。

·　certificate-authority：配置链接APIServer所用的证书路径。

·　embed-certs：是否将证书嵌入kubeconfig中。

·　server：APIServer地址，按需修改。

·　kubeconfig：生成的kubeconfig的位置。

为该kubeconfig文件设置一个上下文环境：

·　set-context：配置一个上下文，名称为system:kube-controller-manager@kubernetes。

·　cluster：该上下文配置到哪个集群。

·　user：该上下文的用户名。

为该kubeconfig设置一个用户项：

·　set-credentials：配置哪个用户，为上下文指定的用户名。

·　client-certificate：该用户的客户端证书。

·　client-key：该用户的客户端密钥。

使用system:kube-controller-manager@kubernetes环境作为默认环境：

同样的逻辑生成scheduler的证书，参数不再解释：

同样的方式生成scheduler的kubeconfig文件。注意，如果不是高可用集群，把master的地址改为10.0.0.236:16443，把apiserver的端口改为16443，默认是6443。

至此，Kubernetes Master节点的组件证书已经配置完成。接下来需要生成一个Kubectl连接API Server的kubeconfig。

使用Kubeadm安装的Kubernetes集群，Kubectl连接API Server用到的kubeconfig文件为/etc/kubernetes/admin.conf，由Kubeadm自动生成。使用二进制安装方式需要手动生成，生成步骤与上述方式类似。

首先生成管理员用户的证书文件：

接下来生成kubeconfig文件。注意，如果不是高可用集群，把Master的地址改为10.0.0.236:16443，把API Server的端口改为16443，默认是6443：

生成用于创建ServiceAccount Secret Token和验证Token的密钥对：

     # openssl genrsa -out /etc/kubernetes/pki/sa.key 2048
     # openssl rsa -in /etc/kubernetes/pki/sa.key -pubout -out /etc/kubernetes/pki/sa.pub

所有的证书签发完成后，需要将证书发送至其他节点：

     # for NODE in k8s-master02 k8s-master03; do
     for FILE in $(ls /etc/kubernetes/pki | grep -v etcd); do
     scp /etc/kubernetes/pki/${FILE} $NODE:/etc/kubernetes/pki/${FILE};
     done;
     for FILE in admin.kubeconfig controller-manager.kubeconfig scheduler.kubeconfig; do
     scp /etc/kubernetes/${FILE} $NODE:/etc/kubernetes/${FILE};
     done;
     done