摘要:若我們將這兩個(gè)參數(shù)分別設(shè)定值為和那么啟動(dòng)后��,執(zhí)行命令�����,并詳細(xì)地查看該可以看到�,該中有了兩個(gè)和���,他們分別是和進(jìn)行再次加密后的數(shù)據(jù)�����。
kube-apiserver啟動(dòng)的時(shí)候如果加了如下的參數(shù):
--admission_control=ServiceAccount
會(huì)自動(dòng)生成一個(gè)apiserver.crt和apiserver.key文件��,所在目錄是/var/run/kubernetes/,并且程序啟動(dòng)后會(huì)發(fā)現(xiàn)��,有一個(gè)默認(rèn)的serviceaccount�����,這種模式下我們創(chuàng)建的resource都會(huì)有一個(gè)默認(rèn)的serviceaccount�����。
kube-controller-manager啟動(dòng)時(shí)有這么兩個(gè)參數(shù):
--root-ca-file="": If set, this root certificate authority will be included in service account"s token secret. This must be a valid PEM-encoded CA bundle.
--service-account-private-key-file="": Filename containing a PEM-encoded private RSA key used to sign service account tokens.
這兩個(gè)參數(shù)指定了要用哪些文件做token和根證書�。若我們將這兩個(gè)參數(shù)分別設(shè)定值為apiserver.crt和apiserver.key,那么啟動(dòng)后,執(zhí)行:
kubectl get secrets
命令�,并詳細(xì)地查看該secret可以看到,該secret中有了兩個(gè)data:ca.crt和token��,他們分別是apiserver.crt和apiserver.key進(jìn)行再次加密后的數(shù)據(jù)����。
這樣,我們創(chuàng)建一個(gè)heapster,heapster所屬的serviceaccount的secret中的兩個(gè)data�,會(huì)被copy到創(chuàng)建出來的容器中,我們可以進(jìn)入該容器找到兩個(gè)數(shù)據(jù)�。
我們看到kubernetes的源碼中,apiserver的模塊有這么一個(gè)函數(shù)��,這個(gè)函數(shù)在啟動(dòng)apiserver的時(shí)候會(huì)被調(diào)用:
func GenerateSelfSignedCert(host, certPath, keyPath string, alternateIPs []net.IP, alternateDNS []string) error {
priv, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
return err
}
template := x509.Certificate{
SerialNumber: big.NewInt(1),
Subject: pkix.Name{
CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix()),
},
NotBefore: time.Now(),
NotAfter: time.Now().Add(time.Hour * 24 * 365),
KeyUsage: x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
BasicConstraintsValid: true,
}
...
}
這個(gè)函數(shù)的功能是創(chuàng)建crt和key�,調(diào)用這個(gè)函數(shù)的地方是kubernetescmdkube-apiserverappserver.go:
if s.TLSCertFile == "" && s.TLSPrivateKeyFile == "" {
s.TLSCertFile = path.Join(s.CertDirectory, "apiserver.crt")
s.TLSPrivateKeyFile = path.Join(s.CertDirectory, "apiserver.key")
// TODO (cjcullen): Is PublicAddress the right address to sign a cert with?
alternateIPs := []net.IP{config.ServiceReadWriteIP}
alternateDNS := []string{"kubernetes.default.svc", "kubernetes.default", "kubernetes"}
// It would be nice to set a fqdn subject alt name, but only the kubelets know, the apiserver is clueless
// alternateDNS = append(alternateDNS, "kubernetes.default.svc.CLUSTER.DNS.NAME")
if err := util.GenerateSelfSignedCert(config.PublicAddress.String(), s.TLSCertFile, s.TLSPrivateKeyFile, alternateIPs, alternateDNS); err != nil {
glog.Errorf("Unable to generate self signed cert: %v", err)
} else {
glog.Infof("Using self-signed cert (%s, %s)", s.TLSCertFile, s.TLSPrivateKeyFile)
}
}
通過上一篇可以知heapster啟動(dòng)后是要向apiserver做https請(qǐng)求的,所以crt和token必不可少����。那為什么我們不直接拿這邊的crt和key去用呢?
這篇文章詳細(xì)地講了證書生成的相關(guān)知識(shí)�����,其中的“添加了SAN的證書生成的過程”和上文源碼中調(diào)用生成證書的地方是相似的�����,但是生成證書的過程中�,hostname部分引用了了一個(gè)[email protected]()作為/CN�。見源代碼中這句:
Subject: pkix.Name{
CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix()),
},
這句將生成crt的時(shí)候的hostname設(shè)置成了host@time,比如vm-56-65@23542343562 這樣的形式����,而且每次重啟了apiserver���,hostname都會(huì)變,容器內(nèi)部可不知道這個(gè)hostname�����,所以根本沒法訪問��。
heapster內(nèi)部會(huì)記錄apiserver的幾個(gè)common name��,即kubernetes源碼中的:
[]string{"kubernetes.default.svc", "kubernetes.default", "kubernetes"}
我認(rèn)為這肯定是要與kubernetes自生成的crt公用而設(shè)計(jì)的���。
至于為什么不行�����,等有時(shí)間再研究���。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/32431.html
