Kubernetes 更改证书密码

Question

我一直在研究与 kubeadm 相关的链接，以尝试更改我的 Kubernetes 集群证书上的密码。问题是我需要禁用 DES/3DES，这样这个命令才会失败：

openssl s_client -connect IP:2379 -cipher "DES:3DES" -tls1_2

到目前为止我浏览过的一些链接（如果我把它们都列出来，这篇文章会太长）：

• SSL Vulnerability Sweet32（这一切是如何开始的）
• kube-apiserver configuration
• 12 Kubernetes configuration best practices
• kubeadm alpha certs renew all

我希望更改kube-apiserver 配置以使用这些标志（在/etc/kubernetes/manifests/kube-apiserver.yaml 文件中）会有所帮助，但它没有（请原谅拼写错误，我无法从我必须使用的客户端复制/粘贴） ：

...
spec:
  containers:
  - command:
    - kube-apiserver
    - ...
    - --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    - --tls-min-version=VersionTLS12
    image: k8s.gcr.io/kube-apiserver:v1.18.6
...

我可以在 these guidelines 之后手动重新生成 /etc/kubernetes/pki 中的所有证书，但我希望坚持使用 kubeadm 或其他 Kubernetes 提供的工具来自动处理它。我找不到任何关于我自己手动生成每个文件的文档，这些文档是为完全不熟悉管理的人设置的。

感谢帮助、链接、建议等！不幸的是，在完成之前，我不能使用集群，甚至不能向人们展示功能。

Answer 1

在我们使用 kubeadm 在 Ubuntu 16.04 上安装 vanilla kubernetes 1.18.3 时，我们解决了以下问题：

kubelets（端口 10250）： 在文件/var/lib/kubelet/config.yaml 中添加：

tlsCipherSuites: [TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

通过systemctl restart kubelet.service重启kubelet.service

kube-api-server（端口 6443）： 在文件/etc/kubernetes/manifests/kube-apiserver.yaml 中添加一个额外的数组条目spec.containers.command

- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

如有必要，删除命名空间 kube-system 中的 pod kube-apiserver。

编辑：不要创建例如来自/etc/kubernetes/manifests/kube-apiserver.yaml 的备份文件在同一目录中。 kube-api-server 也会应用这个备份文件。