Kubelet证书自动续签(为 kubelet 配置证书轮换)
1、概述
Kubelet 使用证书进行 Kubernetes API 的认证。 默认情况下,这些证书的签发期限为一年,所以不需要太频繁地进行更新。
Kubernetes 包含特性 Kubelet 证书轮换, 在当前证书即将过期时, 将自动生成新的秘钥,并从 Kubernetes API 申请新的证书。 一旦新的证书可用,它将被用于与 Kubernetes API 间的连接认证。
注意: 要求 Kubernetes 1.8.0 或更高的版本。
2、启用客户端证书轮换
Kubelet 进程接收 --rotate-certificates 参数,该参数决定 Kubelet 在当前使用的 证书即将到期时,是否会自动申请新的证书。

kube-controller-manager 进程接收 --cluster-signing-duration 参数 (在 1.19 版本之前为 --experimental-cluster-signing-duration),用来控制签发证书的有效期限。
- experimental-cluster-signing-duration=87600h0m0s # kubelet客户端证书颁发有效期设置为10年
- feature-gates=RotateKubeletServerCertificate=true # 启用server证书颁发

注意 1:当前环境是k8s 1.21.5,Kubelet客户端证书轮换功能是默认开启的。
3、理解证书轮换配置
当 Kubelet 启动时,如被配置为自举(使用--bootstrap-kubeconfig 参数),Kubelet 会使用其初始证书连接到 Kubernetes API ,并发送证书签名的请求。 可以通过以下方式查看证书签名请求的状态:
kubectl get csr
最初,来自节点上 Kubelet 的证书签名请求处于 Pending 状态。 如果证书签名请求满足特定条件, 控制器管理器会自动批准,此时请求会处于 Approved 状态。 接下来,控制器管理器会签署证书, 证书的有效期限由 --cluster-signing-duration 参数指定,签署的证书会被附加到证书签名请求中。
Kubelet 会从 Kubernetes API 取回签署的证书,并将其写入磁盘,存储位置通过 --cert-dir 参数指定。 然后 Kubelet 会使用新的证书连接到 Kubernetes API。
当签署的证书即将到期时,Kubelet 会使用 Kubernetes API,自动发起新的证书签名请求。 该请求会发生在证书的有效时间剩下 30% 到 10% 之间的任意时间点。 同样地,控制器管理器会自动批准证书请求,并将签署的证书附加到证书签名请求中。 Kubelet 会从 Kubernetes API 取回签署的证书,并将其写入磁盘。 然后它会更新与 Kubernetes API 的连接,使用新的证书重新连接到 Kubernetes API。
注意 1:Kubelet自举模式
在 Kubernetes 集群的安全配置中,组件之间的通信需要进行认证和授权,以确保集群的安全。Kubelet 作为节点上的关键组件,需要与 Kubernetes API Server(API 服务器)进行安全通信。这种通信通常通过 TLS 证书来实现加密和身份验证。然而,在集群初始化或节点加入集群的过程中,Kubelet 可能还没有被颁发有效的 TLS 证书。这时,Kubelet 可以采用自举(Bootstrap)机制来获取证书。自举机制允许 Kubelet 使用一个临时的、低权限的证书(或引导令牌token;或 kubeconfig 文件,其中包含了连接 API 服务器的配置信息,包括证书和密钥)来启动,并请求 API 服务器为其颁发一个长期有效的、权限更高的证书。
当 Kubelet 启动时,如果它被配置为自举(这通常通过 --bootstrap-kubeconfig 参数实现,该参数指定了包含临时证书和 API 服务器地址的 kubeconfig 文件),它会使用这个文件中的初始证书来连接到 Kubernetes API 服务器。一旦连接成功,Kubelet 会向 API 服务器发送一个证书签名请求(Certificate Signing Request, CSR)。这个 CSR 包含了 Kubelet 的身份信息以及它希望获得的证书的信息(如有效期、用途等)。
API 服务器收到这个 CSR 后,创建CSR资源对象,控制器会根据集群的证书颁发策略(如是否允许自动批准来自特定节点的 CSR)来处理它。如果 CSR 被批准,控制器会使用集群的证书颁发机构(Certificate Authority, CA)来签署这个请求,生成一个新的证书,并将这个证书返回给 Kubelet。Kubelet 收到新证书后,会使用它来替换初始的临时证书,从而以更高的权限和安全性与 API 服务器进行后续的通信。
注意 2:Kubernetes使用CertificateSigningRequest方式签发客户端证书详细步骤参见《Kubernetes客户端认证(三)—— Kubernetes使用CertificateSigningRequest方式签发客户端证书》这篇博文。
4、测试
(1)找一台测试node节点,查看现有客户端证书有效期
[root@member-cluster1-worker1 ~]# cd /var/lib/kubelet/pki/
[root@member-cluster1-worker1 pki]# ls
kubelet-client-2024-07-01-12-00-25.pem kubelet-client-current.pem kubelet.crt kubelet.key
[root@member-cluster1-worker1 pki]# openssl x509 -in kubelet-client-current.pem -noout -dates
notBefore=Jul 1 03:55:22 2024 GMT
notAfter=Jun 29 03:55:22 2034 GMT
(2)修改服务器时间,模拟kubelet证书即将到期
[root@member-cluster1-worker1 pki]# date
2024年 09月 05日 星期四 18:35:40 CST
[root@member-cluster1-worker1 pki]# date -s "2034-6-22"
2034年 06月 22日 星期四 00:00:00 CST
(3)重启Kubelet服务
[root@member-cluster1-worker1 pki]# systemctl restart kubelet
(4)再次查看证书有效期

注意 1: Kubelet证书的起始时间是由Kube-Controller-Manager所在服务器时间决定的。
注意 2:Kubelet的证书轮换功能是自动的,这里重启Kubelet服务是为了立马查看证书轮换效果。
Kubelet证书自动续签(为 kubelet 配置证书轮换)的更多相关文章
- 宝塔面板配置Let's Encrypt证书自动续签失效及解决方案
一.背景小故事 笔者手里有个朋友交给我去日常运维项目是PHP+微信小程序,部署在Linux系统上. 这个项目是用宝塔面板去进行日常的可视化运维管理,用起来蛮香的. 如不清楚宝塔的同学,可以自行了解,这 ...
- LNMP安装Let’s Encrypt 免费SSL证书方法:自动安装与手动配置Nginx
前几天介绍了最新StartSSL免费SSL申请与配置,很多人看到部落介绍SSL证书安装时总是推荐了OneinStack,因为OneinStack提供了一键添加和配置Let's Encrypt 免费SS ...
- iOS10 远程推送服务器所需证书以及应用授权文件配置
推送证书制作步骤(目的:导出服务器需要的p12证书) 第一步: 打开Mac系统的"钥匙串访问"-"证书助理"-"从证书颁发机构请求证书" 取 ...
- StartCom 申请 SSL 证书及 Nginx HTTPS 支持配置全攻略
来源:https://www.williamyao.com/index.php/archives/1397/ 前言 最近收到 StartCom 的邮件,数字证书即将过期,想到去年在 StartSSL ...
- IIS6的SSL配置,如何配置SSL到登陆页,如何将SSL证书设置成受信任的证书
一. 申请证书1. 到受信任的机构申请 略 2. 到自建的证书服务器申请 a. 安装证书服务 通过控制面板中的“添加/删除程序”,选择“添加/删除Windows组件”.在Windows组件向导中找到“ ...
- [转]部署Let’s Encrypt免费SSL证书&&自动续期
最近公司网站要用https,从自己摸索到找到国内的免费证书到选购正式的收费证书,最后老板说:太贵!不要.一脸懵逼的听老板提到Let's Encrypt证书,没办法,用呗.之前是有一些了解,国外发布的一 ...
- k8s实践 - 如何优雅地给kong网关配置证书和插件。
前言 从去年上半年微服务项目上线以来,一直使用kong作为微服务API网关,整个项目完全部署于k8s,一路走来,对于k8s,对于kong,经历了一个从无到有,从0到1的过程,也遇到过了一些坎坷,今天准 ...
- 使用 acme.sh 签发续签 Let‘s Encrypt 证书 泛域名证书
1. 安装 acme.sh 安装很简单, 一个命令: curl https://get.acme.sh | sh 并创建 一个 bash 的 alias, 方便你的使用 alias acme.sh=~ ...
- nginx下如何配置 ssl证书?腾讯云ssl证书为例!
nginx下如何配置 ssl证书?腾讯云ssl证书为例! 目前为止,https已经成为一种趋势,想要开启https就需要ssl证书. 首先,为域名注册ssl证书. 腾讯云注册地址:https://cl ...
- 使用acme.sh申请&自动续期LetsEncrypt免费SSL证书(转)
一.简介 LetsEncrypt是一个免费.自动.开放的证书颁发机构.acme.sh 实现了 acme 协议, 可以从 LetsEncrypt 生成免费的证书. 本文介绍如何使用acme.sh来签发并 ...
随机推荐
- MySQL 获取所有表名、所有表结构
获取所有表名 SELECT A.TABLE_SCHEMA '数据库', A.TABLE_NAME '表名', A.TABLE_ROWS '表记录行数', A.CREATE_TIME '创表时间', A ...
- Mysql的Innodb和MyISAM引擎的区别
区别项 Innodb MyISAM 事务 支持 不支持 锁粒度 行锁,适合高并发 表锁,不适合高并发 是否默认 默认 非默认 支持外键 支持外键 不支持 适合场景 读写均衡,写 ...
- 使用pyqt5制作简单计分桌面应用
这是一个自己写的使用pyqt5制作简单计分桌面应用的实例,希望对大家有所帮助.制作这个小程序的起因是因为有个艺术类比赛需要设计这个一个桌面程序,方便统分. (此程序尚存在部分小bug,请慎用,公开代码 ...
- IDEA之NexChatGPT插件【工欲善其事必先利其器】
国内有热心的程序员开发了一款NexChatGPT插件,安装后开箱即用十分方便,打字机展示的效果也很流畅,另外插件内还外链了国内能直接访问的ChatGPT,非常推荐试一下,IDEA插件NexChatGP ...
- 利用opencv库使用Python将视频逐帧转为图片
做成型的语义分割软件需要,写了一个,在博客记录一下 import cv2 def video2pic(videoFile, outputFile): vc = cv2.VideoCapture(vid ...
- 在缩小浏览器宽度的时候,图片会超出li的宽度
要确保在缩小浏览器宽度时,图片不会超出 <li> 元素的宽度,您可以为描述文本添加一些样式,以便让图片适应于 <li> 元素.一种常见的方法是使用 CSS 中的 max-wid ...
- 指针_C
指针的代码 // Code file created by C Code Develop #include "ccd.h" #include "stdio.h" ...
- 逆向动态加载Dex(内存加载class)
逆向一个app, 其核心算法是通过反射调用的, 反编译软件中无法找到该类, 并且也无法hook. Java.perform(function(){ Java.enumerateClassLoaders ...
- iOS开发基础142-广告归因
IDFA IDFA是苹果为iOS设备提供的一个唯一标识符,专门用于广告跟踪和相关的营销用途.与之对应的,在Android平台的是谷歌广告ID(Google Advertising ID). IDFA的 ...
- 算法·理论:KMP 学习笔记
\(\text{KMP}\) 笔记! 上次比赛,出题人出了一个 \(\text{KMP}\) 模板,我敲了个 \(\text{SAM}\) 跑了,但是学长给的好题中又有很多 \(\text{KMP}\ ...