TLS使用指南（一）：如何在Rancher 2.x中进行TLS终止？

R

本周四晚20:30，k3s首季在线培训第一期准时开播！一节课带你全面了解 k3s的发展历程、基本架构以及未来的研发计划 ~赶紧点击【阅读原文】或在浏览器输入以下链接报名吧！

http://z-mz.cn/Pmrc

Rancher在任何地方都可以使用TLS。因此，在安装Rancher之前，确定TLS终止选项十分重要。

1、 确认你想要执行的TLS终止类型，有以下几种类型：

• 自签名，由Rancher终止（这是默认的）

• Let’s Encrypt，由Rancher终止

• 自带证书，由Rancher终止

• 外部TLS终止

2、 如果你选择了自带证书或外部TLS终止，那么请确保你有用于注册证书的CA证书的副本（仅需cert，不需要密钥）。Rancher在执行操作时需要这一文件。

3、 确保你知道Rancher要使用的主机名。这在安装之后不可更改。

建议你通过阅读文档来了解更多的细节：

https://docs.rancher.cn/

首先，我们来看一下示例 kubeconfig 文件：

apiVersion: v1
kind: Config
clusters:
- name: "sample"
  cluster:
    server: "https://rancher.example.org/k8s/clusters/c-1234"
    certificate-authority-data: "LS0t..."

特别注意 certificate-authority-data 的存在。该字段是CA证书的base64编码版本，这一CA证书可用于对Kubernetes API服务器提供的TLS证书进行签名。或者是Rancher在代理调用 kube-apiserver 时提供的TLS证书。

为什么这个如此重要呢？因为kubectl使用 certificate-authority-data 来确保是你（而不是冒名顶替者）正在连接到正确的集群。如果服务器提供的证书尚未由 certificate-authority-data 中的证书签名，那么kubectl会警告你并且退出。基本上，你不会遭受MITM（中间人）攻击。

certificate-authority-data 中的值来自kube-ca的CA证书（非Rancher集群或使用授权集群端点的Rancher集群），或者是Rancher CA证书（任意Rancher集群）。

请务必在此字段中输入正确的值，否则kubectl不会验证与你的Kubernetes集群的连接。这就是为什么在设置Rancher时需要正确配置TLS。

在任意Rancher连接的集群（包括导入的或其他方式）中，需要部署两个工作负载：

1、 cattle-cluster-agent Deployment

2、 cattle-node-agent Deployment

每个工作负载执行一个特定的功能。总之，这两个agent连接到Rancher的API并在tcp/443上建立安全的websocket连接。然后，该websocket连接会用于Rancher与托管的节点或集群之间的双向通信。

集群agent连接到托管集群的Kubernetes API，这使Rancher可以通过websocket隧道执行API操作。当执行集群操作时（如升级、ectd快照等），节点agent将与RKE集群中的节点进行交互。

这两个agent都使用称为“ CA checksum ”的配置值，该配置值将作为环境变量以 CATTLE_CA_CHECKSUM 的形式传递给Pod。该值需要与kubectl相同——确保连接到正确的端点并方式MITM的发生。但是，校验和的工作原理略有不同。

cattle agent的CA checksum可以厌憎agent是否连接到Rancher API的正确实例。由于Rancher使用TLS保护其HTTPS API端点，因此agent容器可以使用此校验和来验证API端点提供的TLS证书是否正确。

其次， CATTLE_CA_CHECKSUM 未配置为CA证书的base64编码副本。相反，Rancher会生成CA证书的 sha256 校验和，该证书用于签署Rancher TLS证书，并将该值放入 CATTLE_CA_CHECKSUM 字段中。结果如下：

CATTLE_CA_CHECKSUM=b0af09b35ef086fcfc21e990fbd750720abe5c811dbea3ae40fe050a67f0bdb0e

当一个Rancher集群或节点agent调用Rancher API，它会将CA证书与其在Deployment和DaemonSet中配置的那一个进行比较。如果它们匹配，通信则会建立起来。

当安装Rancher时有以下4种主要方式来终止TLS：

• 使用Rancher的自签名证书

• 使用Let’s Encrypt

• 自带证书

• 外部TLS终止

每种方法都有特定的要求，需要在具体操作中进行权衡。

在HA安装场景下，自签名证书需要你安装一个名为cert-manager的应用程序。与单节点Rancher管理CA证书本身不同，HA rancher使用 cert-manager 来处理证书的生命周期。你可以根据以下指引将 cert-manager 安装到你准备好的Kubernetes集群中：

https://rancher.com/docs/rancher/v2.x/en/installation/k8s-install/helm-rancher/

一旦你完成 cert-manager 的安装，下一步是安装rancher。使用自签名证书是Rancher的默认设置，所以执行helm install时实际上只有一个强制性参数：

--set hostname=<YOUR.DNS.NAME>

该参数是强制性的，因为Rancher HA安装不具有与单节点安装相同的即时证书生成功能。因此，一旦你设置了主机名，该主机名将用于Rancher安装的整个生命周期。所以你必须确保你的设置是正确的。

然后 cert-manager 将会生成一个证书，该证书作为一个secret存储在 cattle-system 命名空间中，名为 tls-rancher-ingress 。

本文就到此结束啦，本系列的第二篇文章将会为大家介绍其他类型的TLS终止选项。

推荐阅读

一文教你一次性完成Helm 3迁移