Kubernetes 更改证书密码

Question

我一直在仔细研究与 kubeadm 相关的链接，以尝试更改我的 Kubernetes 集群证书上的密码。问题是我需要禁用 DES/3DES 以便此命令失败:

openssl s_client -connect IP:2379 -cipher "DES:3DES" -tls1_2

到目前为止我浏览过的一些链接(如果我把它们都列出来，这篇文章会太长):

• SSL Vulnerability Sweet32 (这一切是如何开始的)
• kube-apiserver configuration
• 12 Kubernetes configuration best practices
• kubeadm alpha certs renew all

我希望更改 kube-apiserver 配置以使用这些标志(在 /etc/kubernetes/manifests/kube-apiserver.yaml 文件中)会有所帮助，但它没有(请原谅打字错误，我无法从我必须使用的客户端中复制/粘贴):

...
spec:
  containers:
  - command:
    - kube-apiserver
    - ...
    - --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    - --tls-min-version=VersionTLS12
    image: k8s.gcr.io/kube-apiserver:v1.18.6
...

我可以在 /etc/kubernetes/pki 中手动重新生成 these guidelines 之后的所有证书，但我希望坚持使用 kubeadm 或其他 Kubernetes 提供的工具来自动处理它。我找不到任何关于我自己手动生成每个文件的文档，这些文件是为完全不熟悉管理的人设置的。

感谢帮助、链接、建议等!不幸的是，在完成此操作之前，我不允许使用集群甚至向人们演示功能。

Answer 1

在使用 kubeadm 的 Ubuntu 16.04 设置上的 vanilla kubernetes 1.18.3 安装中，我们解决了以下问题:

kubelets(端口 10250):在文件 /var/lib/kubelet/config.yaml 中添加:

tlsCipherSuites: [TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

通过systemctl restart kubelet.service重启kubelet.service

kube-api-server(端口 6443):在文件 /etc/kubernetes/manifests/kube-apiserver.yaml 中，在 spec.containers.command

中添加一个额外的数组条目

- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

如有必要，删除命名空间 kube-system 中的 pod kube-apiserver。

编辑:不要创建一个例如来自 /etc/kubernetes/manifests/kube-apiserver.yaml 的备份文件在同一目录中。 kube-api-server 也会应用这个备份文件。