gpt4 book ai didi

Kubernetes 更改证书密码

转载 作者:行者123 更新时间:2023-12-02 02:44:51 25 4
gpt4 key购买 nike

我一直在仔细研究与 kubeadm 相关的链接,以尝试更改我的 Kubernetes 集群证书上的密码。问题是我需要禁用 DES/3DES 以便此命令失败:

openssl s_client -connect IP:2379 -cipher "DES:3DES" -tls1_2

到目前为止我浏览过的一些链接(如果我把它们都列出来,这篇文章会太长):

我希望更改 kube-apiserver 配置以使用这些标志(在 /etc/kubernetes/manifests/kube-apiserver.yaml 文件中)会有所帮助,但它没有(请原谅打字错误,我无法从我必须使用的客户端中复制/粘贴):

...
spec:
containers:
- command:
- kube-apiserver
- ...
- --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- --tls-min-version=VersionTLS12
image: k8s.gcr.io/kube-apiserver:v1.18.6
...

我可以在 /etc/kubernetes/pki 中手动重新生成 these guidelines 之后的所有证书,但我希望坚持使用 kubeadm 或其他 Kubernetes 提供的工具来自动处理它。我找不到任何关于我自己手动生成每个文件的文档,这些文件是为完全不熟悉管理的人设置的。

感谢帮助、链接、建议等!不幸的是,在完成此操作之前,我不允许使用集群甚至向人们演示功能。

最佳答案

在使用 kubeadm 的 Ubuntu 16.04 设置上的 vanilla kubernetes 1.18.3 安装中,我们解决了以下问题:

kubelets(端口 10250):在文件 /var/lib/kubelet/config.yaml 中添加:

tlsCipherSuites: [TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

通过systemctl restart kubelet.service重启kubelet.service

kube-api-server(端口 6443):在文件 /etc/kubernetes/manifests/kube-apiserver.yaml 中,在 spec.containers.command

中添加一个额外的数组条目
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

如有必要,删除命名空间 kube-system 中的 pod kube-apiserver。

编辑:不要创建一个例如来自 /etc/kubernetes/manifests/kube-apiserver.yaml 的备份文件在同一目录中。 kube-api-server 也会应用这个备份文件。

关于Kubernetes 更改证书密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62983207/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com