如何优雅的实现 Kubernetes 集群证书自动轮换

# For kubeadm provisioned clusterskubeadm alpha certs check-expiration# For all clustersopenssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt

更新过期时间

根据集群的不同，可以选择如下几种方法来更新证书过期时间（任选一种即可）。

方法1: 使用 kubeadm 升级集群自动轮换证书

kubeadm upgrade apply --certificate-renewal v1.15.0

方法2:  使用 kubeadm 手动生成并替换证书

# Step 1): Backup old certs and kubeconfigsmkdir /etc/kubernetes.bakcp -r /etc/kubernetes/pki/ /etc/kubernetes.bakcp /etc/kubernetes/*.conf /etc/kubernetes.bak# Step 2): Renew all certskubeadm alpha certs renew all --config kubeadm.yaml# Step 3): Renew all kubeconfigskubeadm alpha kubeconfig user --client-name=adminkubeadm alpha kubeconfig user --org system:masters --client-name kubernetes-admin  > /etc/kubernetes/admin.confkubeadm alpha kubeconfig user --client-name system:kube-controller-manager > /etc/kubernetes/controller-manager.confkubeadm alpha kubeconfig user --org system:nodes --client-name system:node:$(hostname) > /etc/kubernetes/kubelet.confkubeadm alpha kubeconfig user --client-name system:kube-scheduler > /etc/kubernetes/scheduler.conf# Another way to renew kubeconfigs# kubeadm init phase kubeconfig all --config kubeadm.yaml# Step 4): Copy certs/kubeconfigs and restart Kubernetes services

方法3: 非 kubeadm 集群

非 kubeadm 集群请参考 配置 CA 并创建 TLS 证书 重新生成证书，并重启各个 Kubernetes 服务。

kubelet 证书自动轮换

Kubelet 从 v1.8.0 开始支持证书轮换，当证书过期时，可以自动生成新的密钥，并从 Kubernetes API 申请新的证书。

证书轮换的开启方法如下：

# Step 1): Config kube-controller-managerkube-controller-manager --experimental-cluster-signing-duration=87600h \                --feature-gates=RotateKubeletClientCertificate=true \                ...# Step 2): Config RBAC# Refer https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#approval# Step 3): Config Kubeletkubelet --feature-gates=RotateKubeletClientCertificate=true \                --cert-dir=/var/lib/kubelet/pki \                --rotate-certificates \                --rotate-server-certificates \                ...

撤销证书

Kubernetes 目前还不支持通过 Certificate Rovocation List (CRL) 来撤销证书。所以，目前撤销证书的唯一方法就是使用新的 CA 重新生成所有证书，然后再重启所有服务。

为了避免这个问题，推荐为客户端配置 OIDC 认证，比如可以使用 dex 项目来实现。

注：Etcd 支持 CRL 撤销证书，具体实现可以参考这里。

附: 名词解释

• CA (Certificate Authority)：根证书签发机构，用于签发证书（即证明证书是合法的）。

• CA 拥有私钥 (ca.key) 和证书 (ca.crt，包含公钥)。对于自签名 CA 来说， ca.crt 需要分发给所有客户端。

• ca.crt 会自动挂载到 Pod 中/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
  

• key (Public key or Private key)：即公钥或者私钥。

• csr (Certificate Signing Request)：证书签名请求，用于向权威证书颁发机构获得签名证书的申请，申请中通常包含公钥（私钥自己保存）。

• crt/cer (Certificate)：已签发的证书，一般是 PEM 格式（也支持 DER 格式）。

参考文档

• Certificate Management with kubeadm

• Manage TLS Certificates in a Cluster

• Kubelet Certificate Rotation

原文：https://github.com/feiskyer/kubernetes-handbook/blob/master/practice/certificate-rotation.md