kubernetes 组件相关证书图解

kubernetes证书很多，这里简单整理，加上了图解，方便大家学习。

最重要的是公钥ca.pem 和私钥 ca-key.pem，后续所有证书均由此CA签署，给k8s不同组件使用，这里所有的证书文件，均是使用cfssl工具生成。

etcd：使用 ca.pem、 etcd.pem、etc-key.pem。

kube-apiserver：使用 ca.pem、kubernetes-key.pem、kubernetes.pem、admin.pem。

kubelet：使用 ca.pem。

kube-proxy：使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem。

•  kube-proxy 证书请求中，CN 指定该证书的 User 为 system:kube-proxy，预定义的 ClusterRoleBinding system:node-proxier 将User system:kube-proxy 与 Role system:node-proxier 绑定，授予了调用 kube-apiserver Proxy 相关 API 的权限

kubectl：使用 ca.pem、admin-key.pem、admin.pem。

• 使用admin用户， admin-csr.json 证书请求中 O 指定该证书的 Group 为 system:masters，而 RBAC 预定义的 ClusterRoleBinding 将 Group system:masters 与 ClusterRole cluster-admin 绑定，这就赋予了kubectl**所有集群权限 **

kube-controller-manager：使用 ca-key.pem、ca.pem。

schedule: 使用apiserver的 --insecure 端口进行通信，无需证书配置。

basic-auth:   可选，为后续使用基础认证的场景做准备，如实现dashboard 用不同用户名登陆绑定不同的权限，后续更新dashboard的实践文档。