k8s学习记录,bootstraping原理(三)

TLS Bootstraping官方文档
k8s学习记录,bootstraping原理(三)

当工作节点启动时,kubelet会做以下这些事 :

1、在文件夹中寻找kubeconfig文件. 通常是在/etc/kubenetes/目录下

2、在文件中检索 api server的地址和认证信息

3、通过检索到的证书和url地址连接api server,通信

通信成功,master节点就会把node当作一个可用的节点,分配pods到工作节点上

k8s学习记录,bootstraping原理(三)

1、kubelet启动

2、kubelet查找目录下没有kubelet.kubeconfig文件

3、kubelet查找目录下的bootstrap-kubelet.kubeconfig文件

4、kubelet读取bootstrap-kubelet.kubeconfig文件,检索出api server的url地址和token值

k8s学习记录,bootstraping原理(三)

5、kubelet连接api server,使用token进行认证

k8s学习记录,bootstraping原理(三)
k8s学习记录,bootstraping原理(三)
k8s学习记录,bootstraping原理(三)

master节点中存的secret,解析后的token yaml文件中有加密后的值,bootstrap就是根据这个来进行匹配认证

api server会把这个token识别成一个username,system:bootstrap:,属于system:bootstrappers这个组,这个组具有申请csr的权限,该组的权限绑定在一个叫system:node-bootstrapper的clusterrole上

clusterrole:k8s集群级别的权限控制,作用于整个k8s集群

cluserrolebinding: 集群权限的绑定,它可以把某个clusterrole绑定到一个用户、组或者servicecount上

k8s学习记录,bootstraping原理(三)
k8s学习记录,bootstraping原理(三)

kubelet有权限创建CSR,创建之后,拿着CSR去找API Server申请一个证书;controller-manager就会给颁发一个证书

6、经过上面的认证,kubelet就有了创建和检索CSR的权限

7、kubelet给它自己创建了一个CSR,名称为:kubernetes.io/kube-apiserver-client-kubelet

8、CSR允许有两种方式:

a、k8s管理员使用kubectl手动颁发证书

b、如果配置了相关权限,kube-controller-manager会自动同意CSR

1)kube-controller-manager有一个CSRApprovingController,会校验kubelet发来的CSR的 username和group是否有创建CSR的权限,而且还要验证签发者是否是:kubernetes.io/kube-apiserver-client-kubelet 】
2)controller-manager同意CSR请求

9、CSR被同意后,controller-manager创建kubelet的证书

10、controller-manager将证书更新至CSR的status字段

11、kubelet从apiserver获取证书

12、kubelet从获取到的key和证书文件创建kubelet.kubeconfig

13、kubelet启动完成并正常工作

14、可选项:如果配置了自动续期,kubelet会在证书文件过期的时候利用之前的kubeconfig文件去申请一个新的证书,续约。

15、新申请的证书被同意后签发,取决于配置文件,可手动或自动

a、kubelet创建的CSR是属于一个 O: system:nodes

b、CN:system:nodes:主机名

Kubelet配置自动创建证书

k8s学习记录,bootstraping原理(三)

Kube-controller-manager配置

To enable the kubelet to request and receive a new certificate, create a ClusterRoleBinding that binds the group in which the bootstrapping node is a member system:bootstrappers to the ClusterRole that grants it permission, system:certificates.k8s.io:certificatesigningrequests:nodeclient:
允许kubelet请求和接收新的证书
k8s学习记录,bootstraping原理(三)

To enable the kubelet to renew its own client certificate, create a ClusterRoleBinding that binds the group in which the fully functioning node is a member system:nodes to the ClusterRole that grants it permission, system:certificates.k8s.io:certificatesigningrequests:selfnodeclient:
允许kubelet新颁发自己的客户端证书
k8s学习记录,bootstraping原理(三)

生成token的命令

head -c 16 /dev/urandom | od -An -t x | tr -d ‘ ‘

k8s学习记录,bootstraping原理(三)

上一篇:《Troubleshooting SQL Server》读书笔记-内存管理


下一篇:window系统搭建医药后台系统