好的,所以我挑衅地不是安全专家,而且现在与它斗争了几天,
我正在使用Coreos kube-aws
云形成模板制作商,我想将我的群集部署到生产中,但由于这个小小的评论:
PRODUCTION注意:kube-aws生成的TLS密钥和证书不应用于部署生产Kubernetes集群。每个组件证书仅在90天内有效,而CA有效期为365天。如果部署生产Kubernetes集群,请考虑首先独立于此工具建立PKI
我需要生成自己的密钥,但我似乎不明白如何做到这一点,他们的文档(恕我直言,因为不是专家的人)如果你不熟悉的话,会非常离谱。
所以我的要求是这样的:
kube-aws up --export
获取我需要的userdata
群集我的问题是:
key-pair
......什么! kube-aws render
只会产生一名工作人员key-pair
,所以最后会发生这种情况!现在好的“有趣”部分:
$ openssl genrsa -out ca-key.pem 2048 $ openssl req -x509 -new -nodes -key ca-key.pem -days 10000 -out ca.pem -subj "/CN=kube-ca"
我想-days 10000
解决了我的第一个问题。凉爽
API-SERVER密钥对
openssl.cnf中
[req] req_extensions = v3_req distinguished_name = req_distinguished_name [req_distinguished_name] [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = kubernetes DNS.2 = kubernetes.default DNS.3 = kubernetes.default.svc DNS.4 = kubernetes.default.svc.cluster.local is it DNS.5 = mycompany.com or DNS.5 = *.mycompany.com IP.1 = 10.3.0.1 IP.2 = 10.0.0.50
并运行命令
$ openssl genrsa -out apiserver-key.pem 2048 $ openssl req -new -key apiserver-key.pem -out apiserver.csr -subj "/CN=kube-apiserver" -config openssl.cnf $ openssl x509 -req -in apiserver.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out apiserver.pem -days 3650 -extensions v3_req -extfile openssl.cnf
很好,除了我不知道如何使用的subjectAltName
之外,我本可以尝试一下,看看哪些方法很酷。
工作人员密钥对
这是我真正被困的地方,我应该对这句话做些什么:
This procedure generates a unique TLS certificate for every Kubernetes worker node in your cluster
良好的安全性,除了这一点之外,亚马逊自动缩放小组的IMO真的不切实际并且过分
因此,如果我不希望每个节点都有一个密钥,而是一个密钥,那么worker-openssl.cnf
应该如何看待????
[req] req_extensions = v3_req distinguished_name = req_distinguished_name [req_distinguished_name] [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = $ENV::WORKER_IP <- what am i supposed to do here?
在此之后创建管理密钥对是直截了当的。
请帮忙!
答案 0 :(得分:1)
我能够使用相同的证书为所有工作人员使用此worker-openssl.conf
。可能不是最安全的设置。
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.*.cluster.internal
答案 1 :(得分:0)