赶紧恶补下 k8s 中证书使用相关的知识。

在 Kubernetes（K8s）集群中，CN（Common Name） 和 SAN（Subject Alternative Name） 是 X.509 证书中的关键字段，分别用于身份标识和通信合法性验证。

一、CN（Common Name）的作用

1. 标识实体身份

• 用途：CN 字段用于唯一标识证书持有者（如组件、用户或服务账号）。

• 典型场景：

• kubelet：证书的 CN 设置为 system:node:<节点名称>，标识节点身份。

CN = system:node:k8s-worker1

• 用户证书：管理员证书的 CN 可能为 system:admin，标识用户身份。

• 服务账号：服务账号证书的 CN 通常为 system:serviceaccount:<命名空间>:<服务账号名>。

2. 与 RBAC 的关联

• RBAC 授权：K8s 基于 CN 和 O（Organization） 字段实现基于角色的访问控制（RBAC）。

CN = system:node:k8s-worker1
O = system:nodes

• 该证书表示属于 system:nodes 组的 k8s-worker1 节点，拥有节点的操作权限。

3. 常见问题

• 权限不足：若证书的 CN 未正确配置，可能导致 RBAC 拒绝请求。

Error from server (Forbidden): User "system:node:k8s-worker2" cannot list pods

二、SAN（Subject Alternative Name）的作用

1. 验证通信合法性

• 用途：SAN 指定证书有效的域名或 IP 地址列表，确保通信双方身份合法。

• 典型场景：

• kube-apiserver 证书必须包含所有可能的访问入口：

SAN = DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc,
      DNS:kubernetes.default.svc.cluster.local, IP:10.96.0.1, IP:192.168.1.100

• etcd 证书需包含集群节点 IP 和 DNS：

SAN = DNS:etcd.local, DNS:localhost, IP:192.168.1.100, IP:127.0.0.1

2. 多域名/IP 支持

• 灵活性：允许一个证书保护多个域名或 IP，适用于复杂网络环境。

• 示例：

SAN = DNS:example.com, DNS:*.example.com, IP:192.168.1.100

3. 常见错误

• 证书不信任：若 SAN 未包含客户端访问的地址，会触发错误：

x509: certificate is valid for 192.168.1.100, not 192.168.1.101

三、CN 与 SAN 的协作

协作示例

• kube-apiserver 证书：

• CN：kube-apiserver（标识服务名称）。

• SAN：包含所有客户端可能访问的域名和 IP（如集群内 DNS、公网 IP、负载均衡 IP）。

四、配置示例（kubeadm）

在 kubeadm-config.yaml 中显式指定 SAN：

apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
apiServer:
  certSANs:
    - "k8s-api.example.com"
    - "192.168.1.100"
    - "10.96.0.1"
etcd:
  local:
    serverCertSANs:
      - "etcd.local"
      - "192.168.1.100"

操作步骤

1.生成证书：

kubeadm init phase certs all --config kubeadm-config.yaml

2.验证证书内容：

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep -E "CN|DNS|IP"

五、常见问题排查

1. 节点加入失败

• 错误：

x509: certificate is valid for 192.168.1.100, not 192.168.1.101

• 解决：更新主节点证书的 SAN，包含新节点的 IP 或主机名。

2. RBAC 权限不足

• 错误：

User "system:node:k8s-worker2" cannot list pods

• 解决：检查证书的 CN 和 O 字段是否匹配 RBAC 角色绑定。

3. 证书同步问题

• 现象：待加入节点证书与主节点不一致（master节点证书统一的场景）。

• 解决：手动复制证书并确保权限正确：

scp /etc/kubernetes/pki/etcd/* user@node:/etc/kubernetes/pki/etcd/
chmod 600 /etc/kubernetes/pki/etcd/*

六、总结

• CN：用于标识实体身份（如用户、节点），是 RBAC 授权的依据。

• SAN：确保服务端证书覆盖所有可能的访问方式（域名/IP），是 TLS 验证的核心。

• 最佳实践：

• 服务端证书：优先配置 SAN，覆盖所有网络访问路径。

• 客户端证书：明确设置 CN 和 O 字段以匹配 RBAC 策略。

• 工具支持：使用 kubeadm 配置文件管理 SAN，避免手动生成错误。

定位到了创建的etcd证书有问题，接下来就来查查是啥原因，k8s默认是从 /etc/hostname 中读取主机名，很可能被编辑或者脚本修改后而加上了换行符，不过很遗憾，三台master机器/etc/hostname里都没有换行符。还是先来看看Linux /etc/hostname 里为什么会有换行符。

在 Linux 系统中，/etc/hostname 文件的默认行为确实可能包含末尾的换行符，这是由文本编辑器的默认行为（而非系统本身）导致的。

1. 为何会出现换行符？

• 文本编辑器的默认行为：大多数编辑器（如 vim、nano）在保存文件时，会自动在文件末尾添加换行符（\n）。这是遵循 POSIX 标准 的结果，该标准规定文本文件的每行应以换行符结束。

• 文件格式问题：如果在 Windows 系统上编辑过 /etc/hostname 文件，可能会自动添加 \r\n（CRLF）换行符，而 Linux 使用 \n（LF），ASCII码为0d。

• 命令写入的默认行为：如使用 echo 命令时，默认会添加换行符，若需避免换行符，需添加 -n 选项。

• 非法字符残留：某些脚本或工具可能意外插入非法字符。

2. 换行符是否会影响主机名？

• 系统工具会自动处理：Linux 系统工具（如 hostnamectl、systemd-hostnamed）在读取 /etc/hostname 时会自动忽略末尾的换行符，仅提取有效的主机名字符串。

• 手动操作需注意：若通过脚本或工具直接读取 /etc/hostname，未处理的换行符可能导致意外结果。例如以下几种，在机器上测试都加了换行符。

1. 使用vim编辑/etc/hostname
2. echo xxx > /etc/hostname
3. 获取hostname
hostname ｜ od -c

3. 验证与解决方法

使用 hexdump 或 od 命令检查 /etc/hostname 文件的原始内容：

hexdump -C /etc/hostname
# 或
od -c /etc/hostname

如果输出中包含 \r（回车符，ASCII 码 0d），则会显示类似：

# hexdump -C
00000000  6d 79 68 6f 73 74 0d 0a                           |myhost.|

# od -c
00000000  m y h o s t \n

修复方法

# 清理 /etc/hostname 文件
sed -i 's/\r//g' /etc/hostname
echo -n 'xx' > /etc/hostname

# 重新设置主机名
hostnamectl set-hostname "$(cat /etc/hostname | tr -d '\r')"
systemctl restart systemd-hostnamed.service

4. 最佳实践

• 避免手动编辑：建议使用 hostnamectl 命令修改主机名，/etc/hostname文件可以使用chattr加锁，避免因为被编辑而自动保存换行符问题。

• 脚本中处理换行符：若必须直接读取 /etc/hostname，需清理换行符。

# Shell
clean_hostname=$(echo "$raw_hostname" | tr -d '\r\n')

# Python
clean_hostname = raw_hostname.strip()

# GO
hostName = strings.TrimSpace(rawHostName)

写代码时如需获取使用主机名，需显式清理换行符等特殊符号，否则可能会有意外之喜哦！

在master2上删除有问题的etcd证书，使用kubeadm join手动执行加入命令，重新创建的证书没有问题，这个问题提单给产研已经三天了，由于他们太忙，也没啥时间认真看，最后给了部署工具的代码仓库权限给我，最后定位到问题就是 GetHostName 方法获取主机后只转换成了字符串，并没有做换行符处理，且生成etcd证书是部署工具做了处理，不是通过kubeadm生成的，主节点master1没问题，是因为处理逻辑不一样，这也解释了为什么master1证书没有问题，而master2和master3只要是加入的master证书都有这个问题。最后拉会找工具研发提了个case，优化 GetHostName 方法添加对特殊字符处理的逻辑，编译打包了个新版本，重新部署后问题解决。至于他们说的之前没有碰到这种问题，我也不知道为啥，可能是操作系统原因吧～

参考：

• Kubernetes 集群环境安装
  

• k8s集群添加master节点 certificate etcd/peer is invalid: x509: certificate is valid for xxx,localhost,not x