kubernetes 提供了多种安全认证机制， 其中对于集群通讯间可采用 TLS(https) 双向认证机制，也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署，采用私有 IP 地址进行通讯，权威CA只能签署域名证书，我们这里采用自建CA。

环境：

Master：172.20.103.1

Node：172.20.103.2

基于CA签名的双向数字证书的生成过程如下：

1. 为kube-apiserver生成一个数字证书，并用CA证书签名。

2. 为kube-apiserver进程配置证书相关的启动参数，包括CA证书（用于验证客户端证书的签名真伪）、自己的经过CA签名后的证书及私钥。

3. 为每个访问K8S API Server 的客户端（kube-controller-manager、kube-scheduler、kubelet、kube-proxy及调用API Server的客户端程序kubectl等）进程都可以生成自己的数字证书，也都用CA证书签名，在相关程序的启动参数里增加CA证书、自己的证书等相关参数。

设置kube-apiserver的CA证书相关的文件和启动参数

使用OpenSSL工具在Master服务器上创建CA证书和私钥相关的文件：

yum -y install openssl

cd   /var/run/kubernetes/   （证书默认存放目录）

openssl genrsa -out ca.key 2048

openssl req -x509 -new -nodes -key ca.key -subj "/CN=k8s-master" -days 5000 -out ca.crt

openssl genrsa -out server.key 2048

注意：在生成ca.crt时，-subj参数中“”/CN“”的值为Master主机名。

准备master_ssl.cnf文件，该文件用于x509 v3版本的证书。在该文件中主要需要设置Master服务器的hostname（k8s-master）、IP地址（172.20.103.1）、以及K8S Master Service 的虚拟服务名称（kubernetes.default 等）和该虚拟服务的ClusterIP地址（169.169.0.1）。

master_ssl.cnf 文件的配置如下：

[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

[req_distinguished_name]

[ v3_req ]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names

[alt_names]

DNS.1 = kubernetes

DNS.2 = kubernetes.default

DNS.3 = kubernetes.default.svc

DNS.4 = kubernetes.default.svc.cluster.local

DNS.5 = k8s-master

IP.1 = 169.169.0.1

IP.2 = 172.20.103.1

基于master_ssl.cnf 创建server.csr 和 server.crt 文件。在生成server.csr 时，-subj参数中“”/CN“”的值需为Master的主机名：

openssl req -new -key server.key -subj "/CN=k8s-master" -config master_ssl.cnf -out server.csr

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt

在全部执行完后会生成6个文件：ca.crt  ca.key  ca.srl  master_ssl.cnf  server.crt  server.csr  server.key

然后设置kube-apiserver的三个启动参数"--client-ca-file"，"--tls-private-key-file"，"--tls-cert-file"，分别代表CA根证书文件、服务端私钥文件、服务端证书文件：

--client-ca-file=/var/run/kubernetes/ca.crt

--tls-private-key-file=/var/run/kubernetes/server.key

--tls-cert-file=/var/run/kubernetes/server.crt

同时，可以关闭非安全端口（设置--insecure-port=0），设置安全端口为6443（默认值）：

--insecure-port=0 --secure-port=6443

最后重启kube-apiserver服务

systemctl restart kube-apiserver

设置kube-controller-manager的客户端证书、私钥和启动参数

openssl genrsa -out cs_client.key 2048

openssl req -new -key cs_client.key -subj "/CN=k8s-master" -out cs_client.csr

openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cs_client.crt -days 5000

其中，在生成cs_client.crt时，-CA参数和-CAkey参数使用的是API Server的ca.crt和ca.key文件。

接下来创建/etc/kubernetes/kubeconfig 文件（kube-controller-manager与kube-scheduler共用），配置客户端证书等相关参数，内容如下：

vim /etc/kubernetes/kubeconfig

apiVersion: v1

kind: Config

users:

- name: controllermanager

  user:

    client-certificate: /var/run/kubernetes/cs_client.crt

    client-key: /var/run/kubernetes/cs_client.key

clusters:

- name: local

  cluster:

    certificate-authority: /var/run/kubernetes/ca.crt

    server: https://172.20.103.1:6443

contexts:

- context:

    cluster: local

    user: controllermanager

  name: my-context

current-context: my-context

设置kube-controller-manager服务的启动参数：

--kubeconfig=/etc/kubernetes/kubeconfig

重启kube-controller-manager服务

systemctl restart kube-controller-manager

设置kube-scheduler服务的启动参数：

--kubeconfig=/etc/kubernetes/kubeconfig

重启kube-scheduler服务

systemctl restart kube-scheduler

---

设置每个Node上kubelet的客户端证书、私钥和启动参数

复制kube-apiserver的ca.crt和ca.key文件到node上，在生成kubelet_client.crt时-CA参数和- CAkey参数使用的是API Server的ca.crt和ca.key文件；生成kubelet_client.csr时，将-subj参数中的“”/CN“”设置为本机Node的IP地址。

在node上创建存放证书的目录：

mkdir /etc/kubernetes/ssl_keys

把master上的ca.crt和ca.key文件复制到node上：

scp ca.crt ca.key root@172.20.103.2:/etc/kubernetes/ssl_keys/

openssl genrsa -out kubelet_client.key 2048

openssl req -new -key kubelet_client.key -subj "/CN=172.20.103.2" -out kubelet_client.csr

openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000

接下来创建/etc/kubernetes/kubeconfig文件（kubelet和kube-proxy组件共用），配置客户端证书等相关参数，内容如下：

apiVersion: v1

kind: Config

users:

- name: kubelet

  user:

    client-certificate: /etc/kubernetes/ssl_keys/kubelet_client.crt

    client-key: /etc/kubernetes/ssl_keys/kubelet_client.key

clusters:

- name: local

  cluster:

    certificate-authority: /etc/kubernetes/ssl_keys/ca.crt

    server: https://172.20.103.2:6443

contexts:

- context:

    cluster: local

    user: kubelet

  name: my-context

current-context: my-context

设置kubelet服务的启动参数：

--kubeconfig=/etc/kubernetes/kubeconfig

重启kubelet服务

systemctl restart kubelet

设置kube-proxy服务的启动参数：

--kubeconfig=/etc/kubernetes/kubeconfig

重启kube-proxy服务：

systemctl restart kube-proxy

至此，一个基于CA的双向数字证书认证的K8S集群环境就搭建完成了。

设置kubectl客户端使用安全方式访问API Server

在使用kubectl对K8S集群进行操作时，默认使用非安全端口8080对API Server进行访问，也可以设置为安全访问API Server的模式，需要设置3个证书相关的参数:

“”--certificate-authority“”，“”--client-certificate“”，“”--client-key“”，分别表示用于CA授权的证书，客户端证书和客户端秘钥。

--certificate-authority：使用为kube-apiserver生成的ca.crt文件。

--client-certificate：使用为kube-controller-manager生成的cs_client.crt文件。

--client-key：使用为kube-controller-manager生成的cs_client.key文件

同时，指定API Server的URL地址为HTTPS安全地址（例如：https://k8s-master:443），最后输入需要执行的子命令，即可对API Server进行安全访问了：

kubectl --server=https://172.20.103.1:6443 --certificate-authority=/var/run/kubernetes/ca.crt  --client-certificate=/var/run/kubernetes/cs_client.crt --client-key=/var/run/kubernetes/cs_client.key get nodes