etcd 启用 https

文章目录

• 1， 生成 TLS 秘钥对
• 2，拷贝密钥对到所有节点
• 3，配置 etcd 使用证书
• 4，测试 etcd 是否正常
• 5，配置 kube-apiserver 使用 CA 连接 etcd
• 6，测试 kube-apiserver
• 7，未解决的问题

SSL/TSL 认证分单向认证和双向认证两种方式。简单说就是单向认证只是客户端对服务端的身份进行验证，双向认证是客户端和服务端互相进行身份认证。就比如，我们登录淘宝买东西，为了防止我们登录的是假淘宝网站，此时我们通过浏览器打开淘宝买东西时，浏览器会验证我们登录的网站是否是真的淘宝的网站，而淘宝网站不关心我们是否“合法”，这就是单向认证。而双向认证是服务端也需要对客户端做出认证。

因为大部分 kubernetes 基于内网部署，而内网应该都会采用私有 IP 地址通讯，权威 CA 好像只能签署域名证书，对于签署到 IP 可能无法实现。所以我们需要预先自建 CA 签发证书。

Generate self-signed certificates 官方参考文档

官方推荐使用 cfssl 来自建 CA 签发证书，当然你也可以用众人熟知的 OpenSSL 或者 easy-rsa。以下步骤遵循官方文档：

1， 生成 TLS 秘钥对

生成步骤：

• 1，下载 cfssl
• 2，初始化证书颁发机构
• 3，配置 CA 选项
• 4，生成服务器端证书
• 5，生成对等证书
• 6，生成客户端证书

想深入了解 HTTPS 的看这里：

• 聊聊HTTPS和SSL/TLS协议
• 数字证书CA及扫盲
• 互联网加密及OpenSSL介绍和简单使用
• SSL双向认证和单向认证的区别

1，下载 cfssl

1. mkdir ~/bin
2. curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
3. curl -s -L -o ~/bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
4. chmod +x ~/bin/{cfssl,cfssljson}
5. export PATH=$PATH:~/bin

2，初始化证书颁发机构

1. mkdir ~/cfssl
2. cd ~/cfssl
3. cfssl print-defaults config > ca-config.json
4. cfssl print-defaults csr > ca-csr.json

证书类型介绍：

• client certificate 用于通过服务器验证客户端。例如etcdctl，etcd proxy，fleetctl或docker客户端。
• server certificate 由服务器使用，并由客户端验证服务器身份。例如docker服务器或kube-apiserver。
• peer certificate 由 etcd 集群成员使用，供它们彼此之间通信使用。

3，配置 CA 选项

1. $ cat << EOF > ca-config.json
2.  
3. {
4. "signing": {
5. "default": {
6. "expiry": "43800h"
7. },
8. "profiles": {
9. "server": {
10. "expiry": "43800h",
11. "usages": [
12. "signing",
13. "key encipherment",
14. "server auth"
15. ]
16. },
17. "client": {
18. "expiry": "43800h",
19. "usages": [
20. "signing",
21. "key encipherment",
22. "client auth"
23. ]
24. },
25. "peer": {
26. "expiry": "43800h",
27. "usages": [
28. "signing",
29. "key encipherment",
30. "server auth",
31. "client auth"
32. ]
33. }
34. }
35. }
36. }
37.  
38. $ cat << EOF > ca-csr.json
39.  
40. {
41. "CN": "My own CA",
42. "key": {
43. "algo": "rsa",
44. "size": 2048
45. },
46. "names": [
47. {
48. "C": "US",
49. "L": "CA",
50. "O": "My Company Name",
51. "ST": "San Francisco",
52. "OU": "Org Unit 1",
53. "OU": "Org Unit 2"
54. }
55. ]
56. }
57.  
58. 生成 CA 证书：
59.  
60. $ cfssl gencert -initca ca-csr.json | cfssljson -bare ca -
61.  
62. 将会生成以下几个文件：
63.  
64. ca-key.pem
65. ca.csr
66. ca.pem
67.  

请务必保证 ca-key.pem 文件的安全，*.csr 文件在整个过程中不会使用。

4，生成服务器端证书

1. $ echo '{"CN":"coreos1","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server -hostname="10.93.81.17,127.0.0.1,server" - | cfssljson -bare server
2.  
3. hosts 字段需要自定义。
4.  
5. 然后将得到以下几个文件：
6. server-key.pem
7. server.csr
8. server.pem

5，生成对等证书

1. $ echo '{"CN":"member1","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer -hostname="10.93.81.17,127.0.0.1,server,member1" - | cfssljson -bare member1
2.  
3. hosts 字段需要自定义。
4.  
5. 然后将得到以下几个文件：
6.  
7. member1-key.pem
8. member1.csr
9. member1.pem
10.  
11. 如果有多个 etcd 成员，重复此步为每个成员生成对等证书。

6，生成客户端证书

1. $ echo '{"CN":"client","hosts":["10.93.81.17","127.0.0.1"],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client - | cfssljson -bare client
2.  
3. hosts 字段需要自定义。
4.  
5. 然后将得到以下几个文件：
6.  
7. client-key.pem
8. client.csr
9. client.pem
10.  

至此，所有证书都已生成完毕。

2，拷贝密钥对到所有节点

• 1，拷贝密钥对到所有节点
• 2，更新系统证书库

1，拷贝密钥对到所有节点

1. $ mkdir -pv /etc/ssl/etcd/
2. $ cp ~/cfssl/* /etc/ssl/etcd/
3. $ chown -R etcd:etcd /etc/ssl/etcd
4. $ chmod 600 /etc/ssl/etcd/*-key.pem
5. $ cp ~/cfssl/ca.pem /etc/ssl/certs/

2，更新系统证书库

1. $ yum install ca-certificates -y
3. $ update-ca-trust

3，配置 etcd 使用证书

1. $ etcdctl version
2. etcdctl version: 3.1.3
3. API version: 3.1
4.  
5. $ cat /etc/etcd/etcd.conf
6.  
7. ETCD_DATA_DIR="/var/lib/etcd/default.etcd"
8. #监听URL，用于与其他节点通讯
9. ETCD_LISTEN_PEER_URLS="https://10.93.81.17:2380"
10.  
11. #告知客户端的URL, 也就是服务的URL
12. ETCD_LISTEN_CLIENT_URLS="https://10.93.81.17:2379,https://10.93.81.17:4001"
13.  
14. #表示监听其他节点同步信号的地址
15. ETCD_INITIAL_ADVERTISE_PEER_URLS="https://10.93.81.17:2380"
16.  
17. #–advertise-client-urls 告知客户端的URL, 也就是服务的URL，tcp2379端口用于监听客户端请求
18. ETCD_ADVERTISE_CLIENT_URLS="https://10.93.81.17:2379"
19.  
20. #启动参数配置
21. ETCD_NAME="node1"
22. ETCD_INITIAL_CLUSTER="node1=https://10.93.81.17:2380"
23. ETCD_INITIAL_CLUSTER_STATE="new"
24.  
25. #[security]
26.  
27. ETCD_CERT_FILE="/etc/ssl/etcd/server.pem"
28. ETCD_KEY_FILE="/etc/ssl/etcd/server-key.pem"
29. ETCD_TRUSTED_CA_FILE="/etc/ssl/etcd/ca.pem"
30. ETCD_CLIENT_CERT_AUTH="true"
31. ETCD_PEER_CERT_FILE="/etc/ssl/etcd/member1.pem"
32. ETCD_PEER_KEY_FILE="/etc/ssl/etcd/member1-key.pem"
33. ETCD_PEER_TRUSTED_CA_FILE="/etc/ssl/etcd/ca.pem"
34. ETCD_PEER_CLIENT_CERT_AUTH="true"
35. #[logging]
36. ETCD_DEBUG="true"
37. ETCD_LOG_PACKAGE_LEVELS="etcdserver=WARNING,security=DEBUG"

4，测试 etcd 是否正常

1. $ systemctl restart etcd
2.  
3. 如果报错，使用 journalctl -f -t etcd 和 journalctl -u etcd 来定位问题。
4.  
5. $ curl --cacert /etc/ssl/etcd/ca.pem --cert /etc/ssl/etcd/client.pem --key /etc/ssl/etcd/client-key.pem https://10.93.81.17:2379/health
6. {"health": "true"}
7.  
8. $ etcdctl --endpoints=[10.93.81.17:2379] --cacert=/etc/ssl/etcd/ca.pem --cert=/etc/ssl/etcd/client.pem --key=/etc/ssl/etcd/client-key.pem member list
10. $ etcdctl --endpoints=[10.93.81.17:2379] --cacert=/etc/ssl/etcd/ca.pem --cert=/etc/ssl/etcd/client.pem --key=/etc/ssl/etcd/client-key.pem put /foo/bar "hello world"
12. $ etcdctl --endpoints=[10.93.81.17:2379] --cacert=/etc/ssl/etcd/ca.pem --cert=/etc/ssl/etcd/client.pem --key=/etc/ssl/etcd/client-key.pem get /foo/bar

5，配置 kube-apiserver 使用 CA 连接 etcd

1. $ cp /etc/ssl/etcd/* /var/run/kubernetes/
3. $ chown -R kube.kube /var/run/kubernetes/

在 /etc/kubernetes/apiserver 中 KUBE_API_ARGS 新加一下几个参数：

1. --cert-dir='/var/run/kubernetes/' --etcd-cafile='/var/run/kubernetes/ca.pem' --etcd-certfile='/var/run/kubernetes/client.pem' --etcd-keyfile='/var/run/kubernetes/client-key.pem'
2.  

6，测试 kube-apiserver

1. $ systemctl restart kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy
2.  
3. $ systemctl status -l kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy
4.  
5. $ kubectl get node
6.  
7. $ kubectl get cs
8. NAME STATUS MESSAGE ERROR
9. scheduler Healthy ok
10. controller-manager Healthy ok
11. etcd-0 Unhealthy Get https://10.93.81.17:2379/health: remote error: tls: bad certificate
12.  
13. $ ./version.sh
14. etcdctl version: 3.1.3
15. API version: 3.1
16. Kubernetes v1.6.0-beta.1

7，未解决的问题

1，使用 kubectl get cs 查看会出现如上面所示的报错：

1. etcd-0 Unhealthy Get https://10.93.81.17:2379/health: remote error: tls: bad certificate

此问题有人提交 pr 但尚未被 merge，etcd component status check should include credentials

2，使用以下命令查看到的 2380 端口是未加密的

1. $ etcdctl --endpoints=[10.93.81.17:2379] --cacert=/etc/ssl/etcd/ca.pem --cert=/etc/ssl/etcd/client.pem --key=/etc/ssl/etcd/client-key.pem member list
2.  
3. 2017-03-15 15:02:05.611564 I | warning: ignoring ServerName for user-provided CA for backwards compatibility is deprecated
4. 145b401ad8709f51, started, node1, http://10.93.81.17:2380, https://10.93.81.17:2379

参考文档：

• kubernetes + etcd ssl 支持
• Security model
• Enabling HTTPS in an existing etcd cluster

来源：https://www.cnblogs.com/fungitive/p/9136196.html