K8s挂载证书的方式包括:使用Secret资源、创建ConfigMap、通过Volume挂载、使用Init Containers。 使用Secret资源是一种常用的方法,可以确保证书的安全性和可管理性。通过在Kubernetes中创建一个Secret资源,可以将证书存储在集群内,然后将其挂载到Pod中。这样可以确保证书的私密性,并且可以方便地进行证书的更新和管理。
一、使用SECRET资源
Secret资源是Kubernetes中一种用于存储和管理敏感信息的资源类型,如密码、OAuth令牌和证书。Secret的使用可以确保这些敏感信息不会以明文形式出现在Pod的定义中,从而提高安全性。
-
创建Secret资源:首先,需要将证书文件编码为Base64格式,然后在Kubernetes中创建一个Secret资源。可以使用
kubectl命令行工具,或者在YAML文件中定义Secret资源。例如:apiVersion: v1kind: Secret
metadata:
name: my-certificate
type: Opaque
data:
tls.crt: BASE64_ENCODED_CERTIFICATE
tls.key: BASE64_ENCODED_PRIVATE_KEY
使用
kubectl apply -f secret.yaml命令将其应用到集群中。 -
挂载Secret到Pod:在Pod的定义中,可以通过
volumes和volumeMounts字段将Secret挂载到容器内部。例如:apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
secret:
secretName: my-certificate
二、创建CONFIGMAP
ConfigMap是一种用于存储非敏感配置数据的Kubernetes资源。尽管不如Secret资源安全,但ConfigMap可以用于存储非敏感的证书或配置文件,并将其挂载到Pod中。
-
创建ConfigMap:可以使用
kubectl create configmap命令创建ConfigMap,或者在YAML文件中定义。例如:apiVersion: v1kind: ConfigMap
metadata:
name: my-config
data:
my-cert.crt: |
-----BEGIN CERTIFICATE-----
MIIBIjANBgkqhkiG9w0BA...
-----END CERTIFICATE-----
使用
kubectl apply -f configmap.yaml命令将其应用到集群中。 -
挂载ConfigMap到Pod:在Pod的定义中,通过
volumes和volumeMounts字段将ConfigMap挂载到容器内部。例如:apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: config
mountPath: "/etc/config"
readOnly: true
volumes:
- name: config
configMap:
name: my-config
三、通过VOLUME挂载
Volume挂载是Kubernetes提供的一种将外部存储挂载到Pod中的方法。通过Volume挂载,可以将证书文件存储在外部存储中,然后将其挂载到Pod中。
-
配置Volume:首先,需要在Pod的定义中配置Volume。例如,使用HostPath类型的Volume,可以将宿主机文件系统中的证书文件挂载到Pod中:
apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
hostPath:
path: "/host/path/to/certs"
-
使用PersistentVolume:对于更持久的存储需求,可以使用PersistentVolume和PersistentVolumeClaim。首先,定义PersistentVolume和PersistentVolumeClaim:
apiVersion: v1kind: PersistentVolume
metadata:
name: pv-cert
spec:
capacity:
storage: 1Gi
accessModes:
- ReadWriteOnce
hostPath:
path: "/host/path/to/certs"
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: pvc-cert
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 1Gi
然后在Pod中使用PersistentVolumeClaim:
apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
persistentVolumeClaim:
claimName: pvc-cert
四、使用INIT CONTAINERS
Init Containers是Kubernetes中的一种特殊类型的容器,在应用容器启动之前运行。可以利用Init Containers来下载或生成证书,然后将其存储到共享Volume中。
-
定义Init Container:在Pod的定义中,可以添加一个Init Container,用于下载或生成证书。例如:
apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
initContainers:
- name: init-cert
image: my-init-image
command: ["sh", "-c", "download-or-generate-cert.sh"]
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
emptyDir: {}
-
使用共享Volume:Init Containers和应用容器共享同一个Volume,Init Container会在应用容器启动之前运行,并将证书存储到共享Volume中。应用容器可以直接从该Volume中读取证书。
五、通过CSI插件挂载
容器存储接口(CSI)插件是Kubernetes中用于动态存储管理的插件。通过CSI插件,可以将外部存储挂载到Pod中,适用于更复杂的存储需求。
-
安装CSI插件:首先,需要安装和配置CSI插件,以支持特定的存储后端。可以参考相应存储提供商的文档进行安装和配置。
-
定义StorageClass和PersistentVolumeClaim:定义StorageClass和PersistentVolumeClaim,以使用CSI插件提供的存储。例如:
apiVersion: storage.k8s.io/v1kind: StorageClass
metadata:
name: csi-storage
provisioner: csi.example.com
parameters:
type: fast
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: pvc-csi
spec:
storageClassName: csi-storage
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 1Gi
-
在Pod中使用PersistentVolumeClaim:在Pod的定义中,通过PersistentVolumeClaim使用CSI插件提供的存储:
apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
persistentVolumeClaim:
claimName: pvc-csi
六、通过OPERATOR自动化管理
Operators是Kubernetes中的一种自定义控制器,用于自动化管理应用程序的生命周期。通过使用Operators,可以自动化证书的生成、分发和更新。
-
安装和配置Operator:首先,需要安装和配置相应的Operator,例如Cert-Manager,用于自动化证书的管理。可以参考Operator的文档进行安装和配置。
-
定义Certificate资源:使用Operator提供的自定义资源定义证书。例如,使用Cert-Manager定义一个Certificate资源:
apiVersion: cert-manager.io/v1kind: Certificate
metadata:
name: my-cert
spec:
secretName: my-cert-secret
duration: 90d
renewBefore: 30d
issuerRef:
name: my-issuer
kind: ClusterIssuer
commonName: my.example.com
-
在Pod中使用Secret:Operator会自动生成证书并存储在Secret中。可以在Pod的定义中挂载该Secret:
apiVersion: v1kind: Pod
metadata:
name: my-pod
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
secret:
secretName: my-cert-secret
七、通过服务网格(Service Mesh)挂载
服务网格(Service Mesh)是用于处理微服务架构中服务间通信的基础设施层。通过服务网格,可以自动化证书的分发和管理,例如使用Istio。
-
安装和配置服务网格:首先,安装和配置服务网格,例如Istio。可以参考服务网格的文档进行安装和配置。
-
启用自动注入Sidecar:在命名空间中启用自动注入Sidecar容器,以便服务网格可以自动处理证书的分发和管理。例如,使用Istio:
kubectl label namespace my-namespace istio-injection=enabled -
定义Service和Deployment:在Service和Deployment中无需特别配置证书,服务网格会自动处理证书的分发和挂载。例如:
apiVersion: v1kind: Service
metadata:
name: my-service
spec:
selector:
app: my-app
ports:
- port: 80
targetPort: 8080
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-deployment
spec:
replicas: 3
selector:
matchLabels:
app: my-app
template:
metadata:
labels:
app: my-app
spec:
containers:
- name: my-container
image: my-image
ports:
- containerPort: 8080
-
验证证书管理:服务网格会自动为服务间通信生成和管理证书,无需手动干预。可以使用服务网格提供的工具和命令进行验证和管理。
八、通过动态配置管理工具
动态配置管理工具如HashiCorp Vault可以用于集中管理和分发证书。通过这些工具,可以实现证书的动态生成、分发和更新。
-
安装和配置动态配置管理工具:首先,安装和配置如HashiCorp Vault的动态配置管理工具。可以参考工具的文档进行安装和配置。
-
定义和生成证书:在动态配置管理工具中定义和生成证书。例如,使用HashiCorp Vault,可以定义一个PKI路径,并生成证书:
vault secrets enable pkivault write pki/root/generate/internal common_name=my.example.com ttl=8760h
vault write pki/roles/my-role allowed_domains=my.example.com allow_subdomains=true max_ttl=72h
-
在Pod中挂载证书:通过动态配置管理工具的Kubernetes集成插件,可以将生成的证书挂载到Pod中。例如,使用Vault Agent Injector:
apiVersion: v1kind: Pod
metadata:
name: my-pod
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-role"
vault.hashicorp.com/agent-inject-secret-cert: "pki/issue/my-role"
spec:
containers:
- name: my-container
image: my-image
volumeMounts:
- name: certs
mountPath: "/etc/ssl/certs"
readOnly: true
volumes:
- name: certs
emptyDir: {}
-
动态更新证书:动态配置管理工具可以自动更新证书,并将更新后的证书分发到Pod中,提高证书管理的自动化和安全性。
相关问答FAQs:
K8s是如何挂载证书的?
在 Kubernetes(K8s)中,挂载证书是确保集群及其应用程序安全运行的重要步骤。证书通常用于加密通信、验证身份以及保证数据的完整性。以下是对如何在 K8s 中挂载证书的常见问题解答:
1. 如何在 Kubernetes Pod 中挂载证书?
在 Kubernetes 中,可以通过 ConfigMap、Secret 或直接挂载卷的方式将证书挂载到 Pod 中。具体步骤如下:
-
创建 Secret: 首先,需要创建一个 Secret 对象来存储证书。可以使用
kubectl命令创建 Secret。例如,将证书文件cert.pem和私钥文件key.pem创建为 Secret:kubectl create secret tls my-tls-secret --cert=path/to/cert.pem --key=path/to/key.pem这会在 Kubernetes 集群中创建一个名为
my-tls-secret的 Secret,其中包含证书和私钥。 -
修改 Pod 配置: 在 Pod 的定义文件中,需要将 Secret 挂载到指定的路径。例如:
apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image volumeMounts: - name: cert-volume mountPath: /etc/certs volumes: - name: cert-volume secret: secretName: my-tls-secret在这个配置中,Secret 被挂载到
/etc/certs目录下。容器内的应用程序可以通过这个路径访问证书和私钥。 -
应用配置: 通过
kubectl apply -f pod-definition.yaml命令应用 Pod 配置,Kubernetes 会自动将证书挂载到 Pod 中。
通过这种方式,证书可以安全地存储在 Secret 中,并且仅在需要的容器中可用。
2. 如何使用 ConfigMap 挂载证书?
ConfigMap 也是一种用于管理配置文件的 Kubernetes 对象,它可以用来存储证书文件。在实际操作中,ConfigMap 的使用方式如下:
-
创建 ConfigMap: 使用
kubectl命令创建 ConfigMap,将证书内容作为数据存储。例如:kubectl create configmap my-cert-config --from-file=path/to/cert.pem这样,证书文件
cert.pem将被存储在名为my-cert-config的 ConfigMap 中。 -
配置 Pod: 修改 Pod 配置文件,挂载 ConfigMap 中的证书:
apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image volumeMounts: - name: cert-volume mountPath: /etc/certs volumes: - name: cert-volume configMap: name: my-cert-config这个配置将 ConfigMap 中的证书挂载到
/etc/certs目录下。 -
应用配置: 使用
kubectl apply -f pod-definition.yaml命令更新 Pod 配置。证书将被挂载到 Pod 中的指定路径。
虽然 ConfigMap 适合存储非敏感数据,但对于证书这种涉及安全性的文件,建议使用 Secret 来避免潜在的安全风险。
3. 如何在 K8s 中使用 Helm 部署证书?
Helm 是 Kubernetes 的包管理工具,它可以简化应用程序和证书的部署过程。在使用 Helm 部署证书时,可以按照以下步骤操作:
-
定义 Helm Chart: 在 Helm Chart 的
values.yaml文件中定义证书相关的配置。例如:cert: secretName: my-tls-secret mountPath: /etc/certs在这个配置中,指定了 Secret 的名称和挂载路径。
-
修改 Helm 模板: 在 Helm Chart 的模板文件中,使用模板语法来创建 Secret 并挂载证书。例如,在
templates/secret.yaml文件中定义 Secret:apiVersion: v1 kind: Secret metadata: name: {{ .Values.cert.secretName }} type: kubernetes.io/tls data: tls.crt: {{ .Files.Get "files/cert.pem" | b64enc | quote }} tls.key: {{ .Files.Get "files/key.pem" | b64enc | quote }}然后,在
templates/deployment.yaml文件中挂载 Secret:apiVersion: apps/v1 kind: Deployment metadata: name: my-deployment spec: replicas: 1 selector: matchLabels: app: my-app template: metadata: labels: app: my-app spec: containers: - name: my-container image: my-image volumeMounts: - name: cert-volume mountPath: /etc/certs volumes: - name: cert-volume secret: secretName: {{ .Values.cert.secretName }} -
部署 Helm Chart: 使用 Helm 安装或升级 Chart:
helm install my-release ./my-chart或者:
helm upgrade my-release ./my-chart
通过 Helm,可以方便地管理和部署包含证书的应用程序,提高了操作的灵活性和自动化水平。
关于 GitLab 的更多内容,可以查看官网文档:
官网地址: https://gitlab.cn
文档地址: https://docs.gitlab.cn
论坛地址: https://forum.gitlab.cn
原创文章,作者:小小狐,如若转载,请注明出处:https://devops.gitlab.cn/archives/46433
