apiserver- kubelet -client、apiserver和kubelet证书的区别是什么？

Question

我对库伯奈特的所有证书和钥匙感到困惑。

在主服务器内部，我拥有以下证书和密钥：

/etc/kubernetes/pki/apiserver.crt
/etc/kubernetes/pki/apiserver.key

/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/apiserver-kubelet-client.key

/var/lib/kubelet/pki/kubelet.crt
/var/lib/kubelet/pki/kubelet.key

apiserver-kubelet-client (crt\key)用于主服务器内的apiserver和kubelet之间的安全通信。

为什么我也有kubelet (crt\key)？apiserver-kubelet-client (crt\key)还不够吗？

如果我有apiserver (crt\key)，为什么我需要apiserver-kubelet-client (crt\key)？

希望有人能用这个点点东西。

我读过关于Kubernetes PKI的这文章，但我仍然不明白上面的证书和密钥之间有什么区别。

Answer 1

在准备证书时，您将得到至少一个文件。

• CA_CERT
  • 插入apiserver运行的节点，例如在/srv/kubernetes/ca.crt中。

​

• MASTER_CERT
  • 由CA_CERT签署
  • 插入apiserver运行的节点，例如在/srv/kubernetes/server.crt中

​

• MASTER_KEY
  • 插入apiserver运行的节点，例如在/srv/kubernetes/server.key中

​

您可以在Kubernetes docs 这里中读到这方面的内容。

从你证书的名字很难说出它们是用来做什么的。您应该参考标准配置。此外，您还可以查看凯尔西高塔/库伯内特斯-艰难之路，因为他正在展示如何和何时使用证书。

您可以检查这个发布在Github上的评论，了解在哪个服务之间需要什么样的认证。

Answer 2

我也在问我自己类似的问题。

您需要知道的第一件事是kubelet和api-server相互通信。

第二件事是，Kubernetes使用客户端证书向服务器验证客户端标识，使用服务器证书向客户端验证服务器标识，并建立加密连接。

在kubelet -> api-server的情况下，kubelet需要客户机证书和api-服务器的服务器证书，而对于api-server -> kubelet则是相反的。

您可以使用以下方法检查证书是服务器还是客户端证书：

openssl x509  -noout -text -in apiserver.crt

现在回到问题上：

• /etc/kubernetes/pki/apiserver.crt和/var/lib/kubelet/pki/kubelet.crt是服务器证书。
• /etc/kubernetes/pki/apiserver-kubelet-client.crt和/var/lib/kubelet/pki/kubelet-client-current.pem是客户端证书

1. https://kubernetes.io/docs/concepts/architecture/control-plane-node-communication/