学习 Kubernetes 基础知识

任务

任务
安装工具
安装并设置 kubectl
安装 Minikube
管理集群
用 kubeadm 进行管理
Adding Windows nodes (EN)
Upgrading Windows nodes (EN)
使用 kubeadm 进行证书管理
升级 kubeadm 集群
管理内存,CPU 和 API 资源
为命名空间配置默认的内存请求和限制
为命名空间配置默认的CPU请求和限制
配置命名空间的最小和最大内存约束
为命名空间配置CPU最小和最大限制
为命名空间配置内存和 CPU 配额
配置命名空间下pod总数
安装网络规则驱动
使用 Calico 作为 NetworkPolicy
使用 Cilium 作为 NetworkPolicy
使用 Kube-router 作为 NetworkPolicy
使用 Romana 作为 NetworkPolicy
使用 Weave Net 作为 NetworkPolicy
Debug DNS 方案
Enabling Service Topology (EN)
IP Masquerade Agent 用户指南
Kubernetes 云管理控制器
Safely Drain a Node while Respecting the PodDisruptionBudget (EN)
为 Kubernetes 运行 etcd 集群
为系统守护进程预留计算资源
为节点发布扩展资源
使用 CoreDNS 进行服务发现
使用 KMS 提供商进行数据加密
使用 Kubernetes API 访问集群
关键插件 Pod 的调度保证
启用端点切片
命名空间演练
在 Kubernetes 集群中使用 NodeLocal DNSCache
在 Kubernetes 集群中使用 sysctl
在实时集群上重新配置节点的 Kubelet
声明网络策略
开发云控制器管理器
控制节点上的 CPU 管理策略
控制节点上的拓扑管理策略
搭建高可用的 Kubernetes Masters
改变默认 StorageClass
更改 PersistentVolume 的回收策略
自定义 DNS 服务
访问集群上运行的服务
通过命名空间共享集群
通过配置文件设置 Kubelet 参数
配置 API 对象配额
配置多个调度器
配置资源不足时的处理方式
限制存储消耗
集群 DNS 服务自动伸缩
集群安全
集群管理
静态加密 Secret 数据
配置 Pods 和容器
为容器和 Pod 分配内存资源
Assign CPU Resources to Containers and Pods
Configure GMSA for Windows Pods and containers (EN)
为 Windows 的 pod 和容器配置 RunAsUserName
配置 Pod 的服务质量
为容器分派扩展资源
配置 Pod 以使用卷进行存储
配置 Pod 以使用 PersistentVolume 作为存储
配置 Pod 使用投射卷作存储
Configure a Security Context for a Pod or Container (EN)
为 Pod 配置服务账户
从私有仓库拉取镜像
配置存活、就绪和启动探测器
Assign Pods to Nodes using Node Affinity (EN)
将 Pod 分配给节点
配置 Pod 初始化
为容器的生命周期事件设置处理函数
使用 ConfigMap 配置 Pod
在 Pod 中的容器之间共享进程命名空间
创建静态 Pod
将 Docker Compose 文件转换为 Kubernetes 资源
管理 Kubernetes 对象
Declarative Management of Kubernetes Objects Using Configuration Files (EN)
Declarative Management of Kubernetes Objects Using Kustomize (EN)
Managing Kubernetes Objects Using Imperative Commands (EN)
使用配置文件对 Kubernetes 对象进行命令式管理
给应用注入数据
为容器设置启动时要执行的命令及其入参
为容器设置环境变量
使用 PodPreset 将信息注入 Pods
使用 Secret 安全地分发凭证
通过文件将Pod信息呈现给容器
通过环境变量将Pod信息呈现给容器
运行应用
运行一个有状态的应用程序
使用 kubectl patch 更新 API 对象
删除 StatefulSet
强制删除 StatefulSet 类型的 Pods
基于Replication Controller执行滚动升级
Pod 水平自动伸缩
Horizontal Pod Autoscaler演练
指定应用程序的中断预算(Disruption Budget)
使用Deployment运行一个无状态应用
弹缩StatefulSet
运行一个单实例有状态应用
运行 Jobs
使用 CronJob 运行自动化任务
使用扩展进行并行处理
使用工作队列进行粗粒度并行处理
使用工作队列进行精细的并行处理
访问集群中的应用程序
网页界面 (Dashboard)
访问集群
使用端口转发来访问集群中的应用
使用服务来访问集群中的应用
创建一个外部负载均衡器
配置你的云平台防火墙
Set up Ingress on Minikube with the NGINX Ingress Controller (EN)
列出集群中所有运行容器的镜像
为集群配置 DNS
使用 Service 把前端连接到后端
同 Pod 内的容器使用共享卷通信
配置对多集群的访问
监控、日志和排错
Auditing
Auditing with Falco (EN)
Debug Running Pods (EN)
Logging Using Stackdriver (EN)
StackDriver 中的事件
使用 crictl 对 Kubernetes 节点进行调试
使用 ElasticSearch 和 Kibana 进行日志管理
在本地开发和调试服务
应用故障排查
应用自测与调试
排错
确定 Pod 失败的原因
节点健康监测
获取正在运行容器的 Shell
调试 Init 容器
调试 Pods 和 Replication Controllers
调试 Service
调试StatefulSet
资源指标管道
资源监控工具
集群故障排查
扩展 Kubernetes
使用自定义资源
Extend the Kubernetes API with CustomResourceDefinitions (EN)
用户自定义资源版本
配置聚合层
设置一个扩展的 API server
使用 HTTP 代理访问 Kubernetes API
TLS
管理集群中的 TLS 认证
证书轮换
联邦 - 在多个集群上运行一个应用
将 CoreDNS 设置为联邦集群的 DNS 提供者
使用联合服务来实现跨集群的服务发现
管理联邦控制平面
联邦 ConfigMap
联邦 DaemonSet
联邦 Deployment
联邦 Job
联邦 ReplicaSet
联邦 Secret
联邦事件
联邦命名空间
在联邦中设置放置策略
管理集群守护进程
对 DaemonSet 执行回滚
对 DaemonSet 执行滚动更新
安装服务目录
使用 Helm 安装 Service Catalog
使用 SC 安装服务目录
网络
验证 IPv4/IPv6 双协议栈
用插件扩展 kubectl
管理巨页(HugePages)
调度 GPUs

Edit This Page

使用 kubeadm 进行证书管理

FEATURE STATE: Kubernetes v1.15 稳定

kubeadm 生成的客户端证书在 1 年后到期。 本页说明如何使用 kubeadm 管理证书续订。

准备开始

熟悉 Kubernetes 中的 PKI证书和要求

您应该熟悉Kubernetes 中的 PKI 证书和要求

检查证书是否过期

check-expiration 能被用来检查证书是否过期

kubeadm alpha certs check-expiration

输出类似于以下内容:

CERTIFICATE                EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
admin.conf                 May 15, 2020 13:03 UTC   364d            false
apiserver                  May 15, 2020 13:00 UTC   364d            false
apiserver-etcd-client      May 15, 2020 13:00 UTC   364d            false
apiserver-kubelet-client   May 15, 2020 13:00 UTC   364d            false
controller-manager.conf    May 15, 2020 13:03 UTC   364d            false
etcd-healthcheck-client    May 15, 2020 13:00 UTC   364d            false
etcd-peer                  May 15, 2020 13:00 UTC   364d            false
etcd-server                May 15, 2020 13:00 UTC   364d            false
front-proxy-client         May 15, 2020 13:00 UTC   364d            false
scheduler.conf             May 15, 2020 13:03 UTC   364d            false

该命令显示 /etc/kubernetes/pki 文件夹中的客户端证书以及 kubeadm 使用的 KUBECONFIG 文件中嵌入的客户端证书的到期时间/剩余时间。

另外, kubeadm 会通知用户证书是否由外部管理; 在这种情况下,用户应该小心的手动/使用其他工具来管理证书更新。

警告: kubeadm 不能管理由外部 CA 签名的证书
注意: 上面的列表中没有包含 kubelet.conf 因为 kubeadm 将 kubelet 配置为自动更新证书。

自动更新证书

kubeadm 会在控制面板升级的时候更新所有证书

这个功能旨在解决最简单的用例;如果您对此类证书的更新没有特殊要求,并且定期执行 Kubernetes 版本升级(每次升级之间的间隔时间少于 1 年),则 kubeadm 将确保您的集群保持最新状态并保持合理的安全性。

注意: 最佳的做法是经常升级集群以确保安全。

如果您对证书更新有更复杂的需求,则可通过将 --certificate-renewal=false 传递给 kubeadm upgrade apply 或者 kubeadm upgrade node ,从而选择不采用默认行为。

手动更新证书

您能随时通过 kubeadm alpha certs renew 命令手动更新您的证书。

这个命令用 CA (或者 front-proxy-CA )证书和存储在 /etc/kubernetes/pki 中的密钥执行更新。

警告: 如果您运行了一个 HA 集群,这个命令需要在所有控制面板节点上执行。
注意:

alpha certs renew 使用现有的证书作为属性 (Common Name、Organization、SAN 等) 的权威来源,而不是 kubeadm-config ConfigMap 。强烈建议使它们保持同步。

kubeadm alpha certs renew 提供下列选项

Kubernetes 证书通常在一年后到期。

  • --csr-only 可用于经过一个外部 CA 生成的证书签名请求来更新证书(无需实际替换更新证书);更多信息请参见下一段。
  • 也可以更新单个证书而不是全部证书。

用 Kubernetes 证书 API 更新证书

本节提供有关如何使用 Kubernetes 证书 API 执行手动证书更新的更多详细信息。

警告:

这些是针对需要将其组织的证书基础结构集成到 kubeadm 构建的集群中的用户的高级主题。如果默认的 kubeadm 配置满足了您的需求,则应让 kubeadm 管理证书。

设置一个签名者

Kubernetes 证书颁发机构不是开箱即用。 您可以配置外部签名者,例如 cert-manager ,也可以使用内置签名者。 内置签名者是 kube-controller-manager 的一部分。 要激活内置签名者,请传递--cluster-signing-cert-file--cluster-signing-key-file参数。

这个内置签名者是 kube-controller-manager 的一部分。

要激活内置签名者,必须传递 --cluster-signing-cert-file--cluster-signing-key-file 参数。

如果您正在正在创建一个新的集群,您可以使用 kubeadm 的 配置文件

  apiVersion: kubeadm.k8s.io/v1beta2
  kind: ClusterConfiguration
  controllerManager:
    extraArgs:
      cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt
      cluster-signing-key-file: /etc/kubernetes/pki/ca.key

创建证书签名请求 (CSR)

您能用 kubeadm alpha certs renew --use-api 为 Kubernetes 证书 API 创建一个证书签名请求。

如果您设置例如 [cert-manager][cert-manager] 等外部签名者,则会自动批准证书签名请求(CSRs)。 否者,您必须使用 kubectl certificate 命令手动批准证书。 以下 kubeadm 命令输出要批准的证书名称,然后缓慢等待批准发生:

sudo kubeadm alpha certs renew apiserver --use-api &

输出类似于以下内容:

[1] 2890
[certs] certificate request "kubeadm-cert-kube-apiserver-ld526" created

批准证书签名请求 (CSR)

如果您设置了一个外部签名者, 证书签名请求 (CSRs) 会自动被批准。

否则,您必须用 kubectl certificate 命令手动批准证书,例如

kubectl certificate approve kubeadm-cert-kube-apiserver-ld526

输出类似于以下内容:

certificatesigningrequest.certificates.k8s.io/kubeadm-cert-kube-apiserver-ld526 approved

您可以使用 kubectl get csr 查看待处理证书列表。

通过外部 CA 更新证书

本节提供有关如何使用外部 CA 执行手动更新证书的更多详细信息。

为了更好的与外部 CA 集成,kubeadm 还可以生成证书签名请求(CSR)。 CSR 表示向 CA 请求客户的签名证书。 在 kubeadm 术语中,通常由磁盘 CA 签名的任何证书都可以作为 CSR 生成。但是,CA 不能作为 CSR 生成。

创建证书签名请求 (CSR)

您可以传入一个带有 --csr-dir 的目录,将 CRS 输出到指定位置。 如果未指定 --csr-dir ,则使用默认证书目录( /etc/kubernetes/pki )。 CSR 和随附的私钥都在输出中给出。签署证书后,必须将证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki)。

CSR 代表对 CA 的请求,要求获得客户端的签名证书。

您能用 kubeadm alpha certs renew --csr-only 创建一个证书签名请求。

输出中给出了 CSR 和随附的私钥;您可以输入目录名和 --csr-dir ,以将 CSR 输出到指定位置。

证书能用 kubeadm alpha certs renew --csr-only 更新。

kubeadm init ,通过 --csr-dir 能指定输出文件夹。

要使用新证书,请将签名的证书和私钥复制到 PKI 目录(默认情况下为 /etc/kubernetes/pki

一个 CSR 包含一个证书的名字,域和 IP, 但是未指定用法

颁发证书时, CA 有责任指定正确的证书用法

使用首选方法对证书签名后,必须将证书和私钥复制到 PKI 目录(默认为 /etc/kubernetes/pki )。

反馈