开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

kubelet tls证书的用途是什么？

kubelet tls证书的用途是用于对kubelet与kube-apiserver之间的通信进行加密和身份验证。kubelet是Kubernetes集群中每个节点上运行的主要组件之一，负责管理节点上的容器和与控制平面进行通信。kube-apiserver是Kubernetes的控制平面组件，负责接收和处理集群中的API请求。

使用tls证书可以确保kubelet与kube-apiserver之间的通信是安全的。具体而言，tls证书的用途包括：

加密通信：tls证书可以通过使用公钥加密算法，对kubelet与kube-apiserver之间的通信进行加密，确保通信内容在传输过程中不被窃取或篡改。
身份验证：tls证书可以用于对kubelet进行身份验证，确保只有经过授权的kubelet才能与kube-apiserver建立连接。这样可以防止未经授权的节点或恶意节点对集群进行访问或操作。
安全传输：tls证书可以验证通信双方的身份，并确保通信内容的完整性。这样可以防止中间人攻击或数据篡改，确保通信的安全性。

推荐的腾讯云相关产品：腾讯云容器服务（Tencent Kubernetes Engine，TKE）。腾讯云容器服务是基于Kubernetes的容器管理服务，提供高可用、弹性伸缩的容器集群，支持自动化部署、弹性扩缩容、负载均衡等功能，可帮助用户快速搭建和管理容器化应用。

产品介绍链接地址：https://cloud.tencent.com/product/tke

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

一文带你彻底厘清 Kubernetes 中的证书工作机制

接触 Kubernetes 以来，我经常看到 Kubernetes 在不同的地方使用了证书（Certificate），在 Kubernetes 安装和组件启动参数中也需要配置大量证书相关的参数。但是 Kubernetes 的文档在解释这些证书的工作机制方面做得并不是太好。经过大量的相关阅读和分析工作后，我基本弄清楚了 Kubernetes 中证书的使用方式。在本文中，我将试图以一种比官方文档更容易理解的方式来说明 Kubernetes 中证书相关的工作机制，如果你也存在这方面的疑惑，希望这篇文章对你有所帮助。

02

一文带你彻底厘清 Kubernetes 中的证书工作机制

本文试图以一种比官方文档更容易理解的方式来说明 Kubernetes 和证书（Certificate）相关的工作机制，如果你也存在这方面的疑惑，希望这篇文章对你有所帮助。

03

Kubernetes TLS bootstrapping

众所周知 TLS 的作用就是对通讯加密，防止中间人窃听；同时如果证书不信任的话根本就无法与 apiserver建立连接，更不用提有没有权限向 apiserver 请求指定内容。在开启了 TLS 的集群中，每当与集群交互的时候少不了的是身份认证，使用 kubeconfig（即证书）和 token 两种认证方式是最简单也最通用的认证方式。

01

说说Kubernetes的访问控制实现方式

如上图，这是一个典型的 Kubernetes 集群组件图，通过上图我们可以看到 Kubernetes 各组件都是以 APIServer 作为网关通信的。为了安全，APIServer 一般通过 TLS 认证对外暴露，集群组件若要访问 APIServer 则需要相应的 TLS 证书。

02

关于Kubernetes证书的那点事

众所周知。Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用kubeadm安装的 Kubernetes，则会自动生成集群所需的证书。但是如果是通过二进制搭建，所有的证书是需要自己生成的，这里我们说说集群必需的证书。

07

K8S 证书详解(认证)

在 Kube-apiserver 中提供了很多认证方式，其中最常用的就是 TLS 认证，当然也有 BootstrapToken，BasicAuth 认证等，只要有一个认证通过，那么 Kube-apiserver 即认为认证通过。下面就主要讲解 TLS 认证。

07

kubernete的证书总结服务端保留公钥和私钥，客户端使用root CA认证服务端的公钥。

serving 证书： --tls-cert-file和--tls-private-key-file，API server用这两个选项来认证连接到自己的TLS。这两个证书也是CA(可以是自签CA)签署的。由于客户端节点可能会拒绝自签CA，因此需要将该CA分发给客户端节点，并在客户端指定该CA。如下kubelet的kubeconfig中的certificate-authority就指定了用于认证tls证书的CA。--tls-cert-file中需要有server字段的名称。API server和kubelet(当需要认证到kubelet的请求时)都有这两个选项，工作原理一样。 current-context: my-context apiVersion: v1 clusters: - cluster: certificate-authority: /path/to/my/ca.crt # CERTIFICATE AUTHORITY THAT ISSUED YOUR TLS CERT server: https://horse.org:4443 # this name needs to be on the certificate in --tls-cert-file name: my-cluster kind: Config users: - name: green-user user: client-certificate: path/to/my/client/cert client-key: path/to/my/client/key

03

Kubernetes 权威指南第二章校对（3）

首先是觉得在 Service 文件里面引用环境变量的方式似乎没有什么特别的好处。因此丢弃了环境变量文件，直接把参数写入了 Service 文件。

01

k8s实践(8)--ssl安全认证配置

在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP BASE或TOKEN的认证方式,其中CA证书方式的安全性最高。本节先介绍以CA证书的方式配置Kubernetes集群,要求Master上的kube-apiserver.kube-controller-manager. kube-scheduler进程及各Node上的kubelet, kube-proxy进程进行CA签名双向数字证书安全设置

02

kube-apiserver启动命令参数解释

在apiserver启动时候会有很多参数来配置启动命令，有些时候不是很明白这些参数具体指的是什么意思。

04

kubernetes关键概念总结

每个service对应一个cluster IP，cluster IP对应的服务网段最初是在配置kube-apiserver、kube-controller-manager和kube-proxy的systemd unit时指定的，如kube-apiserver参数为--service-cluster-ip-range。

01

浅谈云上攻防——Kubelet访问控制机制与提权方法研究

背景本文翻译整理自rhino安全实验室：近些年针对kubernetes的攻击呈现愈演愈烈之势，一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器，尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码，组织机密和内部文件，甚至控制集群中托管的整个数据库从而发起勒索攻击。根据微

03

kubernetes学习记录（13）——网上集群基于CA签名安全设置的两种方式对比

00

二进制部署k8s教程01 - ssl证书

其实。。。ssl 证书没啥的，就是加密通讯用的，真正让大家头疼的不是 ssl 证书，而是跟 k8s 放在一块，结合 k8s 产生各种证书绕晕了。

01

kubernetes 二进制安装(v1.20.15)（六）部署WorkNode节点

注1：因为本机资源的限制，我们可以让Master Node上兼任Worker Node角色。注2：本篇不在 k8s-node1 上作为，下一篇就知道了。

03

二进制部署k8s教程17 - 最后总结

k8s 除了需要 ssl 证书认证之外，还创建了一套鉴权机制。常用的 RBAC 鉴权通过在 ssl 证书中指定 CN 用户名以及 O

01

Kubelet 证书自动续期

当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时，表明证书过期

02

使用 Bootstrap 请求 Kubelet 服务端证书

很少用 Kubeadm，一直用自有 CA 签发证书，所以 TLS Bootstrap 也极少接触，然后乐子就来了。

03

附008.Kubernetes TLS证书介绍及创建

Kubernetes系统的各个组件需要使用TLS证书对其通信加密以及授权认证，建议在部署之前先生成相关的TLS证书。

02

二进制部署k8s教程16 - 部署kubelet[TLS引导方式]

(https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)

01

kubernetes 证书合集

Kubernetes需要PKI证书才能通过TLS进行身份验证。如果使用kubeadm安装Kubernetes，则会自动生成集群所需的证书。还可以生成自己的证书，例如，通过不将私钥存储在API服务器上来保持私钥更安全。当然，我们目前是在手动安装嘛。

03

二进制安装k8s集群(12)-安装kubelet

在上一篇文章里我们主要介绍master组件kube-scheduler的安装，这里我们开始介绍安装worker组件kubelet，我们采用下载二进制binary制作linux systemd的方式安装。这个组件也在下载的kubenetes包里(1.15.1版本)，在以前文章里已经下载过(要科学上网或者搭个梯子)，这里就不再重复。另外kubelet与kube-apiserver交互我们开启ssl，所以请提前制作好相关ssl证书(可以参考以前文章里制作docker的证书)，并copy到配置目录里。

06

最全K8S加固指南：12个最佳实践，防止K8S配置错误

在容器环境中，K8S管理着拥有数个、数百个甚至数千个节点的容器集群，其配置的重要性不可忽略。K8S的配置选项很复杂，一些安全功能并非默认开启，这加大了安全管理难度。如何有效地使用包括Pod安全策略、网络策略、API服务器、Kubelet及其他K8S组件和功能策略建立安全的K8S环境？整理了以下12个最佳实践，对K8S进行全面加固。

06

kubernetes集群证书更新

kubeadm配置的集群默认的证书是1年，到期后证书升级是个很麻烦的事情。，该脚本可将kubeadm生成的证书有效期更新为10年

01

正确部署metrics-server (0.3.6，3.7 )及问题处事（kubernetes1.9.3）

metrics-server作用：监控必须的组件正确部署metrics-server 0.3.6，3.7如下：

02

Kubernetes全栈架构师（二进制高可用安装k8s集群扩展篇）--学习笔记

如果更改了k8s service的网段需要将coredns的serviceIP改成k8s service网段的第十个IP

04

Kubernetes云原生安全渗透学习

Kubernetes简称k8s，是当前主流的容器调度平台，被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境，在目前全面上云的趋势，有必要学习在k8s环境的下的一些攻击手法，本文非常适合刚入门或者准备学习云安全方向的安全人员，每个步骤都是亲手复现整理。文中如有错误的地方，还望各位大佬在评论区指正。

03

kubelet参数

Kubelet具有许多参数，可以通过命令行选项、配置文件、环境变量等方式进行配置。以下是一些最常用的参数。

07

Kubernetes集群的身份验证

用户在访问Kubernetes集群的API server时，访问请求需要经过身份验证、授权和准入控制这三个阶段的检查，才能真正到达API服务，如下图所示：

01

04-创建kubeconfig认证文件

本文档记录自己的学习历程！创建 kubeconfig 文件 kubelet、kube-proxy 等 Node 机器上的进程与 Master 机器的 kube-apiserver 进程通信时需要认证和授权； kubernetes 1.4 开始支持由 kube-apiserver 为客户端生成 TLS 证书的 TLS Bootstrapping 功能，这样就不需要为每个客户端生成证书了；该功能当前仅支持为 kubelet 生成证书；创建 TLS Bootstrapping Token Token auth

03

03 . 二进制部署kubernetes1.18.4

简介目前生产部署kubernetes集群主要两种方式 kubeadm Kubeadm是一个K8s部署工具，提供kubeadm init和kubeadm join，用于快速部署Kubernetes集群。二进制包从github下载发行版的二进制包，手动部署每个组件，组成Kubernetes集群。 Kubeadm降低部署门槛，但屏蔽了很多细节，遇到问题很难排查。如果想更容易可控，推荐使用二进制包部署Kubernetes集群，虽然手动部署麻烦点，期间可以学习很多工作原理，也利于后期维护。二进制

05

Kubernetes高可用集群二进制部署（三）部署api-server

在工作节点上分发软件，因为只规划了一台服务器作为工作节点(k8s-worker1)，实际在工作中为了节省资源会把master同时作为工作节点

01

监控 Kubernetes 集群证书过期时间的三种方案

Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件，还有 kubeconfig 文件。

02

kubernetes学习记录（9）——集群基于CA签名的安全设置

最近在使用RC的时候碰到了一个问题：创建RC后无法自动创建Pod 网上搜索，得到出现该问题的原因是：身份认证。解决的办法有两种：（1）跳过认证（2）解决认证跳过认证跳过认证的解决办法是

00

kubernetes 二进制安装(v1.20.15)（七）加塞一个工作节点

这里我再说一遍 TLS Bootstrapping：算了下一篇吧，这里之所以要删除这两个文件，是因为要从 master 的 apiserver 重新生成，如果有东西在那边，会导致一些莫名其妙的后果，比方说 kubelet 起来了，但是从master 上扫描不到 node。

03

kubernetes(七) 二进制部署k8s（1.18.4版本）

Etcd 是一个分布式键值存储系统，Kubernetes使用Etcd进行数据存储，所以先准备一个Etcd数据库，为解决Etcd单点故障，应采用集群方式部署，这里使用3台组建集群，可容忍1台机器故障，当然，你也可以使用5台组建集群，可容忍2台机器故障。

02

kubernetes(七) 二进制部署k8s（1.18.4版本）

Etcd 是一个分布式键值存储系统，Kubernetes使用Etcd进行数据存储，所以先准备一个Etcd数据库，为解决Etcd单点故障，应采用集群方式部署，这里使用3台组建集群，可容忍1台机器故障，当然，你也可以使用5台组建集群，可容忍2台机器故障。

02

kubernetes init流程概览

kubernetes init流程引导前检查生成私钥以及数字证书生成控制平面的kubeconfig文件生成控制平面组件的manifest文件下载镜像，等待控制平面启动保存MasterConfiguration 设定Master标志进行基于TLS的安全引导相关的配置安装DNS和kube-porxy插件引导前检查 kubeadm init pre-flight check: kubeadm版本要与安装的kubernetes版本的比对检查 kubernetes安装的系统需求检查其

05

二进制部署k8s教程06 - 部署apiserver

分发 kubelet 颁发给 kube-apiserver 的 client 证书

01

听GPT 讲K8s源代码--cmd(六)

在 Kubernetes 项目中，cmd/kubeadm/app/phases 目录中的文件是用于实现 kubeadm 工具的不同阶段的逻辑。kubeadm 是一个命令行工具，用于在 Kubernetes 集群中初始化和管理主节点（control plane）。

01

K8S 证书详解(鉴权)

上一篇系统分析了 Kubernetes 集群中每个证书的作用和证书认证的原理。对于 Kube-apiserver，Kubelet 来说，它们都能提供 HTTPS 服务，Kube-apiserver、Kubelet 对于一个请求，既要认证也要鉴权。在 Kube-apiserver 中，鉴权也有多种方式：

03

kubernetes 二进制安装(v1.20.16)（四）部署 master

TLS Bootstraping：Master apiserver启用TLS认证后，Node节点kubelet和kube-proxy要与kube-apiserver进行通信，必须使用CA签发的有效证书才可以，当Node节点很多时，这种客户端证书颁发需要大量工作，同样也会增加集群扩展复杂度。为了简化流程，Kubernetes引入了TLS bootstraping机制来自动颁发客户端证书，kubelet会以一个低权限用户自动向apiserver申请证书，kubelet的证书由apiserver动态签署。所以强烈建议在Node上使用这种方式，目前主要用于kubelet，kube-proxy还是由我们统一颁发一个证书。

01

自建 Prometheus 采集腾讯云容器服务监控数据最佳实践

用 Prometheus 采集腾讯云容器服务的监控数据时如何配置采集规则？主要需要注意的是 kubelet 与 cadvisor 的监控指标采集，本文分享为 Prometheus 配置 scrape_config 来采集腾讯云容器服务集群的监控数据的方法。

Kubernetes 证书管理系列（一）

这是一个系列文章，将会通过七篇内容和大家一起聊聊 Kubernetes 中的证书管理。

02

06-搭建master集群

部署高可用 kubernetes master 集群 kubernetes master 节点包含的组件： kube-apiserver kube-scheduler kube-controller-manager 目前这三个组件需要部署在同一台机器上。 kube-scheduler、kube-controller-manager 和 kube-apiserver 三者的功能紧密相关；同时只能有一个 kube-scheduler、kube-controller-manager 进程处于工作状态，如果运行多

02

k8s1.13.0二进制部署-node节点（四）

Master apiserver启用TLS认证后，Node节点kubelet组件想要加入集群，必须使用CA签发的有效证书才能与apiserver通信，当Node节点很多时，签署证书是一件很繁琐的事情，因此有了TLS Bootstrapping机制，kubelet会以一个低权限用户自动向apiserver申请证书，kubelet的证书由apiserver动态签署。认证大致工作流程如图所示：

02

kubernetes 设置CA双向数字证书认证

Kubernetes 系统提供了三种认证方式：CA 认证、Token 认证和 Base 认证。 CA 双向认证方式是最为严格和安全的集群安全配置方式，也是我们今天要介绍的主角。

02

好似一场马拉松：历时5月，Kubernetes1.19正式发布！Ingress迎来GA

我们迎来了Kubernetes1.19，这是2020年发布的第二个版本，也是迄今为止最长的发布周期，总共持续了20周。它包括33个增强功能：12个增强功能达到稳定版，18个增强处在beta版，还有13个是alpha版。

02

K8S 1.12 重磅发布|全面解读 15 个重大功能更新

| 为 | 容 | 器 | 技 | 术 | 而 | 生 |

02

Kubernetes v1.12/v1.13 二进制部署集群（HTTPS+RBAC）

Minikube是一个工具，可以在本地快速运行一个单点的Kubernetes，尝试Kubernetes或日常开发的用户使用。不能用于生产环境。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭